Cisco Personal Assistant用户密码验证可绕过漏洞

漏洞信息详情

Cisco Personal Assistant用户密码验证可绕过漏洞

• CNNVD编号：CNNVD-200402-025
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0044
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-01-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Cisco Security Adv…

Cisco Personal Assistant是一款基于Microsoft Windows 2000的应用程序，是AVVID解决方案的一部分。
Cisco Personal Assistant允许通过WEB接口未授权访问用户配置，远程攻击者可以利用这个漏洞更改用户参数和配置。
此漏洞只在下面的条件成立时才存在：
1、Personal Assistant管理员在System -＞ Miscellaneous Settings中勾了\”Allow Only Cisco CallManager Users\”。
2、Personal Assistant Corporate Directory 设置引用Cisco CallManager使用的相同目录服务。
如果以上条件成立的情况下，Personal Assistant的用户配置密码验证就会关闭，允许任意用户输入一个合法用户ID和任意密码就能访问配置管理系统，未授权更改其他用户配置。
此漏洞不影响通过电话接口访问Personal Assistant的用户。

厂商补丁：
Cisco
—–
Cisco已经为此发布了一个安全公告(cisco-sa-20040108-pa)以及相应补丁:

cisco-sa-20040108-pa：Cisco Personal Assistant User Password Bypass Vulnerability

链接：http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml” target=”_blank”>
http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml

检查Personal Assistant配置，不勾上”Allow Only Cisco CallManager Users”框。

如果需要询问补丁信息，可联系Cisco Technical Assistance Center (TAC)：

* +1 800 553 2447 (北美地区免话费)

* +1 408 526 7209 (全球收费)

* e-mail: tac@cisco.com

用户可查看http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml获得更多的TAC信息。” target=”_blank”>
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml获得更多的TAC信息。

来源: CISCO
名称: 20040108 Cisco Personal Assistant User Password Bypass Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml

来源: XF
名称: ciscopersonalassistant-config-file-access(14172)
链接:http://xforce.iss.net/xforce/xfdb/14172

来源: BID
名称: 9384
链接:http://www.securityfocus.com/bid/9384

来源: OSVDB
名称: 3430
链接:http://www.osvdb.org/3430