OmniPCX Office远程信息泄露漏洞

2008-04-15T00:00:00
ID SSV:3167
Type seebug
Reporter Root
Modified 2008-04-15T00:00:00

Description

BUGTRAQ ID: 28758 CVE(CAN) ID: CVE-2008-1331

阿尔卡特的OmniPCX Office是一套为中小型企业设计的统一通信解决方案。

OmniPCX Office的Internet Access服务所使用的一个CGI脚本没有正确地过滤某些特定参数,允许远程攻击者从Internet检索敏感信息。

Alcatel-Lucent OmniPCX Office >= 210/061.1 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  • 禁止从Internet的WBM/WCA访问

对于R2.1到R4.1版本:

以管理帐号登录到WBM 找到Firewall配置屏幕 选择Firewall Settings URL 选择Services标签 反选Web-Based Management (WBM) 反选Web-Communication Assistant 应用修改 注销

对于R5.1到R6.1版本:

以管理帐号登录到WBM 找到Firewall配置屏幕 选择Firewall Settings URL 选择HTTP/HTTPS标签 反选HTTPS services (“Services available from WAN network using HTTPS”) 反选HTTP services (“Services available from WAN network using HTTP”) 应用修改 注销

厂商补丁:

Alcatel-Lucent

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www1.alcatel-lucent.com/products/productsummary.jsp?productNumber=tcm:228-1280151635 target=_blank>http://www1.alcatel-lucent.com/products/productsummary.jsp?productNumber=tcm:228-1280151635</a>