思科针对IP电话安全风险指导高优先级补丁

admin

思科警告8800和7800系列IP商务电话中的SIP漏洞

思科

思科本周建议客户使用其7800和8800系列IP电话，他们应修补各种可能导致拒绝服务和其他安全问题的高优先级漏洞。
该公司发布了五个安全建议，四个用于8800，一个用于8800和7800系列IP电话。 8800是一款高端商务桌面设备，具有高清视频和移动设备集成功能。 7800更像是一款通用商务IP电话。
安全建议包括：
思科写道，Cisco IP Phone 8800系列会话发起协议（SIP）软件的基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者将任意文件写入文件系统。该漏洞是由于输入验证和文件级权限不足造成的。攻击者可以通过将无效文件上载到受影响的设备来利用此漏洞。
Cisco IP Phone 8800系列SIP软件的基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者将任意文件写入文件系统。该漏洞是由于输入验证和文件级权限不足造成的。思科表示，攻击者可以通过将无效文件上传到受影响的设备来利用此漏洞。
思科IP电话8800系列SIP软件的基于Web的管理界面的弱点可能允许未经身份验证的远程攻击者绕过授权，访问关键服务并导致拒绝服务（DoS）条件。存在此漏洞是因为软件在处理请求之前无法清理URL。思科表示，攻击者可以通过提交精心设计的URL来利用此漏洞。
SIP Software for Cisco IP Phone 8800系列基于Web的管理界面中的曝光可能允许未经身份验证的远程攻击者进行跨站点请求伪造（CSRF）攻击。该漏洞是由于受影响设备的基于Web的管理界面的CSRF保护不足。思科表示，攻击者可以通过说服接口的经过身份验证的用户遵循精心设计的链接来利用此漏洞。
思科表示，这些漏洞会影响思科IP电话运行无线IP电话8821-EX 11.0之前的SIP软件版本，以及IP电话8832和其他IP电话8800系列版本12.5 SR1。
最后一个漏洞会影响两部手机。问题在于思科IP电话7800系列和思科IP电话8800系列的SIP软件的基于Web的管理界面存在缺陷。成功利用可能允许攻击者触发受影响设备的重新加载，导致DoS条件或使用app用户的权限执行任意代码。思科写道，该漏洞存在是因为软件在用户身份验证期间不正确地验证了用户提供的输入。攻击者可以通过使用HTTP连接到受影响的设备并提供恶意用户凭据来利用此漏洞。
思科表示，这一弱点涉及统一IP会议电话8831的10.3版SR5; 11.0 SR3 for Wireless IP Phone 8821和8821-EX;和IP SR 7800和8800系列其余部分的12.5 SR1。
思科表示已经发布了针对所有建议的免费补丁，并建议到这里查看如何下载它们。