安全研究

安全漏洞
集成Exchange的Cisco Unity存在默认密码漏洞

发布日期:2004-12-15
更新日期:2004-12-16

受影响系统:
Cisco Unity Server 4.0
Cisco Unity Server 2.4
Cisco Unity Server 2.3
Cisco Unity Server 2.2
Cisco Unity Server 2.1
Cisco Unity Server 2.0
描述:
BUGTRAQ  ID: 11954
CVE(CAN) ID: CVE-2004-1322

Cisco Unity提交多种消息的通信解决方案,可集成于Microsoft Exchange一起使用。

Cisco Unity存在多个默认帐户,远程攻击者可以利用这个漏洞以这些帐户控制应用程序。

当与Exchange结合使用时,存在多个默认用户名/密码组合,未授权用户可以使用这些默认帐户读取消息或者执行管理命令,这些默认帐户为:

EAdmin<systemid>
UNITY_<servername>
UAMIS_<servername>
UOMNI_<servername>
UVPIM_<servername>
ESubsubscriber

利用EAdmin <systemid>可访问管理接口进行应用程序控制。利用UNITY_<servername>、UAMIS_<servername>、UOMNI_<servername>或UVPIM_<servername>可读取进出的任意消息。

<*来源:Cisco安全公告
  
  链接:http://www.cisco.com/warp/public/707/cisco-sa-20041215-unity.shtml
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 为如下帐户设置密码:

EAdmin<systemid>
Unity_<servername>
UAMIS_<servername>
UOMNI_<servername>
UVPIM_<servername>
Esubscriber

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20041215-unity)以及相应补丁:
cisco-sa-20041215-unity:Cisco Unity Integrated with Exchange Has Default Passwords
链接:http://www.cisco.com/warp/public/707/cisco-sa-20041215-unity.shtml

补丁下载:

Cisco Unity 4.0(5)将在2005年第一季度发送,将包含这个问题的修正。


拥有服务合同的客户必须连接他们常规升级渠道获得由此公告指定的免费升级软件。对于大多数拥有服务合同的客户,这意味着升级必须通过CISCO全球WEB站软件中心获得:

http://www.cisco.com/tacpage/sw-center

要访问此下载URL,你必须是注册用户和必须登录后才能使用。

事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。

直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法:

     * +1 800 553 2447 (北美地区免话费)
     * +1 408 526 7209 (全球收费)
     * e-mail: tac@cisco.com
    
查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息,包括特别局部的电话号码,各种语言的指南和EMAIL地址。

浏览次数:3055
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障