Mới đây Cisco đã tiết lộ thông tin về một số lỗi bảo mật mới trong phần mềm Unified CallManager 5.0 và phần mềm web cấu hình bộ định tuyến Cisco.
Theo đó, có hai lỗi bảo mật phát sinh trong giao diện quản lý dòng lệnh của phần mềm Unified CallManager 5.0. Những lỗi này có thể cho phép một tài khoản cấp quản trị (administrator) có thể đoạt được quyền truy cập cấp cao nhất (root access), thực thi các đoạn mã, ghi đè lên các tệp tin hoặc khởi động một vụ tấn công từ chối dịch vụ.
Một lỗi bảo mật khác thuộc về Unified CallManager là một lỗi tràn bộ nhớ đệm có thể bị khai thác bằng cách đặt một tên máy chủ (hostname) quá dài cùng với các đoạn mã độc hại thông qua yêu cầu thủ tục SIP để mở đường cho các vụ tấn công từ chối dịch vụ hoặc thư thi đoạn mã.
Unified CallManager là phần mềm đóng vai trò xử lý các tiến trình cuộc gọi trong giải pháp Cisco VoIP vừa mới được nhà phát triển cho nâng cấp lên hồi tháng 3 vừa qua và được bổ sung thêm thủ tục khởi tạo phiêm làm việc (SIP).
Trong bản tin khuyến cáo, Product Security Incident Response Team (PSIRT) của Cisco cho biết họ sẽ sớm khắc phục những lỗi bảo mật nói trên.
Tuy nhiên, hãng bảo mật Symantec lại không hề đánh giá cao những lỗi bảo mật mới được công bố trong sản phẩm của Cisco. Symantec chỉ xếp những lỗi này vào mức độ 10 trên chiếc thang 10 bậc đánh giá mức độ nguy hiểm của các lỗi bảo mật.
Ethan Simmons - một chuyên gia trong lĩnh vực cung cấp giải pháp - cho rằng những lỗi bảo mật trong CallManager chỉ có thể bị khai thác trong các vụ tấn công trong trường hợp nó được cấu hình quá cẩu thả.
Để ngăn chặn mọi sự xâm nhập bất hợp pháp, giải pháp CallManager 5.0 phải được cấu hình ứng dụng danh sách kiểm soát truy cập giới hạn và VLANs nhằm giới hạn việc truy cập đến máy chủ thực sự xử lý các cuộc gọi.
Bên cạnh đó, Cisco cũng tiết lộ thông tin về một lỗi bảo mật khác ảnh hưởng đến công cụ Cisco Router Web Setup (CRWS). Lỗi bảo mật này có thể khiến cho các ứng dụng bị treo giúp kẻ tấn công có thể đoạt quyền truy cập ở cấp độ người quản trị.
Lỗi bảo mật này cũng vẫn chỉ được Symantec đánh giá vào mức độ 10.
Cisco đã phát hành các bản vá lỗi bảo mật cho phần mềm công cụ này. Được biết lỗi bảo mật này chỉ ảnh hưởng chủ yếu đến công cụ CRWS dành riêng cho Cisco SOHO và dòng router Cisco 800.
Hoàng Dũng
Cisco tiết lộ một số lỗi bảo mật sản phẩm
54
Bạn nên đọc
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
Shazam kỷ niệm cột mốc bài hát thứ 100 tỷ được nhận dạng cùng nhiều kỷ lục ấn tượng khác
-
Age of Empires Mobile chốt thời điểm ra mắt chính thức trên iOS và Android
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
-
OpenDNS là gì, những ưu điểm, nhược điểm của OpenDNS
-
5 cách khởi chạy nhanh chương trình trên Windows
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
Code Thánh Kiếm Luân Hồi mới nhất và cách nhập
Hôm qua 5 -
Hướng dẫn đổi avatar tài khoản Threads
Hôm qua -
Sửa nhanh lỗi "Location is not available" trên Windows 10/8/7
Hôm qua -
Cách thu hồi email đã gửi trong Gmail
Hôm qua -
Cách tạo và sử dụng các template trong Microsoft Word
Hôm qua -
Lời chúc Giáng sinh cho người yêu lãng mạn, chúc Noel người yêu ngọt ngào
Hôm qua -
Lỗi không thể kết nối iTunes Store, đây là cách khắc phục
Hôm qua 1 -
Cách tải Photoshop CS2 miễn phí, key Photoshop CS2 từ Adobe
Hôm qua 1 -
Thật đáng sợ, AI có thể tạo ra khuôn mặt chính xác chỉ từ giọng nói của một người
Hôm qua -
Cách xóa tin nhắn Messenger tự động bằng Vanish Mode
Hôm qua