Cisco bít lỗ hổng chết người IP Phone

Cuối tuần qua Cisco đã phải phát hành hai bản cập nhật khẩn cấp để bít các lỗi bảo mật chết người trong IP Phones và phần mềm quản lý cuộc gọi Unified Communications Manager (UCM). Mã khai thác những lỗi này hiện đã được phát tán trên mạng Internet.

Dòng sản phẩm Cisco 7900 Series IP Phones được xác nhận mắc một loạt các lỗi bảo mật nguy hiểm hoàn toàn có thể bị tin tặc lợi dụng để từ xa đoạt quyền thực thi mã độc trên sản phẩm mắc lỗi. Lỗi xử lý DNS độc hại, lỗi máy chủ SSH, lỗi xử lý MIME tin nhắn SIP ... đều có thể bị khai thác để tạo điều kiện tràn bộ nhớ đệm. Ngoài ra còn một số lỗi có thể bị lợi dụng để vô hiệu hóa hoàn toàn thiết bị mắc lỗi.

Các nhà quản trị có thêm tham khảo thêm thông tin về các lỗi nói trên tại đây và tải về các bản sửa lỗi cần thiết tại đây.

Ngoài ra các nhà quản trị cũng được khuyến cáo nên nâng cấp phần mềm quản trị thiết bị lên phiên bản 5.1(3a) hoặc 6.1(1a) nhằm tránh nguy cơ tin tặc lợi dụng một lỗi SQL Injection để ăn cắp các thông tin nhạy cảm. Bản sửa lỗi có thể được tải về tại đây.

SANS Institute khuyến cáo các nhà quản trị nên nhanh chóng tải về cài đặt các bản sửa lỗi cần thiết hoặc áp dụng giải pháp vô hiệu hóa các dịch vụ ứng dụng mắc lỗi.