添加时间:
2005-08-12

系统编号:
WAVDB-00183
BugCVE: CAN-2002-0882
BUGTRAQ: 4798

影响版本:
Cisco VoIP Phone CP-7910 3.0-3.1

程序介绍:

VoIP Phone 7900系列是一款由CISCO公司开发的IP电话解决方案。

漏洞分析:

VoIP Phone 7900系列的Web接口对不正常请求处理存在漏洞，可导致远程攻击者获得系统内存信息。
VoIP Phones 7900系列内置监听80口的Web服务，此服务提供多个关于调试和显示电话状态信息的页面，用户可以通过 http://www.example.com/PortInformation?  形式访问，由于这些页面不需要验证就可以访问，任意攻击者可以提交一个比较高的 值给服务程序，Web服务就会返回电话内存 值可以稳定地获得内存信息。


解决方案:
厂商补丁：
Cisco
-----
Cisco已经为此发布了一个安全公告（Cisco-ip-phone）以及相应补丁:
Cisco-ip-phone：Multiple Vulnerabilities in Cisco IP Telephones
链接：http://www.cisco.com/warp/public ... abilities-pub.shtml

补丁下载：
Cisco Upgrade P00303020203
http://www.cisco.com/tac

信息来源:
<*来源：Johnathan Nightingale （johnath@johnath.com）
链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0200.html
http://www.cisco.com/warp/public ... abilities-pub.shtml
*>