集成Exchange的Cisco Unity存在默认密码漏洞

漏洞信息详情

集成Exchange的Cisco Unity存在默认密码漏洞

• CNNVD编号：CNNVD-200412-064
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1322
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2004-12-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Cisco安全公告

Cisco Unity提交多种消息的通信解决方案，可集成于Microsoft Exchange一起使用。
Cisco Unity存在多个默认帐户，远程攻击者可以利用这个漏洞以这些帐户控制应用程序。
当与Exchange结合使用时，存在多个默认用户名/密码组合，未授权用户可以使用这些默认帐户读取消息或者执行管理命令，这些默认帐户为：
EAdmin＜systemid＞
UNITY_＜servername＞
UAMIS_＜servername＞
UOMNI_＜servername＞
UVPIM_＜servername＞
ESubsubscriber
利用EAdmin ＜systemid＞可访问管理接口进行应用程序控制。利用UNITY_＜servername＞、UAMIS_＜servername＞、UOMNI_＜servername＞或UVPIM_＜servername＞可读取进出的任意消息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 为如下帐户设置密码：

EAdmin

Unity_

UAMIS_

UOMNI_

UVPIM_

Esubscriber
厂商补丁：
Cisco
—–
Cisco已经为此发布了一个安全公告(cisco-sa-20041215-unity)以及相应补丁:

cisco-sa-20041215-unity：Cisco Unity Integrated with Exchange Has Default Passwords

链接：http://www.cisco.com/warp/public/707/cisco-sa-20041215-unity.shtml” target=”_blank”>
http://www.cisco.com/warp/public/707/cisco-sa-20041215-unity.shtml

补丁下载：

Cisco Unity 4.0(5)将在2005年第一季度发送，将包含这个问题的修正。

拥有服务合同的客户必须连接他们常规升级渠道获得由此公告指定的免费升级软件。对于大多数拥有服务合同的客户，这意味着升级必须通过CISCO全球WEB站软件中心获得：

http://www.cisco.com/tacpage/sw-center” target=”_blank”>
http://www.cisco.com/tacpage/sw-center

要访问此下载URL，你必须是注册用户和必须登录后才能使用。

事先或目前与第三方支持组织，如Cisco合作伙伴、授权零售商或服务商之间已有协议，由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。

直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法：

* +1 800 553 2447 (北美地区免话费)

* +1 408 526 7209 (全球收费)

* e-mail: tac@cisco.com

查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml” target=”_blank”>
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息，包括特别局部的电话号码，各种语言的指南和EMAIL地址。

来源: XF
名称: cisco-unity-exchange-default-accounts(18489)
链接:http://xforce.iss.net/xforce/xfdb/18489

来源: BID
名称: 11954
链接:http://www.securityfocus.com/bid/11954

来源: CISCO
名称: 20041215 Cisco Unity Integrated with Exchange Has Default Passwords
链接:http://www.cisco.com/warp/public/707/cisco-sa-20041215-unity.shtml

来源: CIAC
名称: P-060
链接:http://www.ciac.org/ciac/bulletins/p-060.shtml