思科周三发布关于其统一通信产品的两个独立的安全警报 - 今年第三UC相关的警报。其中一个警报发出本周关注的缺陷
据思科,它的一些IP电话的包含多个溢出和拒绝服务漏洞。运行SCCP和/或SIP某些手机固件是脆弱的(见名单在思科的安全公告)。SCCP-和基于SIP的电话都包含在DNS响应处理一个缓冲区溢出漏洞。思科称,特制的DNS响应可能能够触发缓冲区溢出和脆弱的电话上执行任意代码。该孔被固定在SCCP固件版本8.0(8)和SIP固件版本8.8(0)。
思科概述了影响某些SCCP设备3个vulnerablities:大因特网控制消息协议(ICMP)回送请求DOS,其可以通过发送一个大的ICMP回应请求分组导致脆弱装置重新启动;HTTP服务器DOS的问题,可以通过发送特制的HTTP请求的TCP端口80造成一定的手机重新启动;并且在其它思科电话的安全外壳(SSH)的缺陷,可能导致手机重启如果未认证攻击者发送特制的分组的端口22。
还有一些影响思科的SIP设备三个漏洞:一个SIP多用途Internet邮件扩展(MIME)边界溢出;Telnet服务器溢出和SIP代理响应溢出。
该公司还警告称,其统一通信管理器是易受管理员和用户界面页的参数关键的SQL注入攻击。一个成功的攻击可以让授权的黑客访问信息,例如存储在数据库中的用户名和密码哈希值,根据这个思科咨询。思科已经发布了针对该漏洞的免费软件更新。
在一月,思科警告它的思科统一通信管理器包含在证书信任列表一个堆溢出漏洞,允许黑客引起拒绝服务攻击或执行任意代码。
更多来自思科子网:
*赢取任天堂Wii;获胜的副本“路由器安全策略:确保IP网络流量飞机的书
去思科子网更多思科新闻,博客,论坛,安全警示,书赠品等。