偵測

Plugin

Cisco TelePresence VCS Expressway Series 8.5.2 多個弱點

medium Nessus Plugin ID 85651

語系：

概要

遠端主機受到多個弱點影響。

說明

根據其自我報告的版本，遠端主機上執行的 Cisco TelePresence Video Communication Server (VCS) Expressway 執行個體受到多個弱點影響：

- web 架構元件中存在一個命令插入弱點，此弱點是因為對使用者提供的輸入驗證不足所導致。經驗證的遠端攻擊者可惡意利用此弱點，透過特製要求，插入以「nobody」使用者權限層級執行的任意命令。(CVE-2015-4303)

- Mobile and Remote Access (MRA) 端點驗證功能中存在一個存取弱點，此弱點是因為不當驗證用來註冊的電話線路所導致。經驗證的遠端攻擊者可惡意利用此弱點，透過特製的工作階段啟始通訊協定 (SIP) 訊息，來註冊他們的電話並模擬合法使用者。
(CVE-2015-4316)

- 存在一個拒絕服務弱點，此弱點是因為針對格式錯誤的驗證訊息的處理不充分所導致。未經驗證的遠端攻擊者可惡意利用此弱點，透過含有無效變數的特製驗證封包，來造成拒絕服務情形。(CVE-2015-4317)

- 存在一個拒絕服務弱點，此弱點是因為針對格式錯誤的 GET 要求訊息的處理不充分所導致。
未經驗證的遠端攻擊者可惡意利用此弱點，透過含有無效變數的特製封包，來造成拒絕服務情形。(CVE-2015-4318)

- 密碼變更功能中存在一個安全性繞過弱點，此弱點是因為授權處理程序中的強制執行不充分所導致。經驗證的遠端攻擊者可惡意利用此弱點，透過特製的封包，來重設任意作用中使用者的密碼。
(CVE-2015-4319)

- 組態記錄檔元件中存在一個資訊洩漏弱點，此弱點是因為特定記錄檔中包含敏感資訊所導致。經驗證的遠端攻擊者可惡意利用此弱點來檢視記錄檔中的敏感資訊。
(CVE-2015-4320)

解決方案

升級至 Cisco 錯誤 ID CSCuv12333、CSCuv12338 和 CSCuv12340 中提及的相關修正版本。如果是 Cisco 錯誤 ID CSCuv40396、CSCuv40469 和 CSCuv40528，請聯絡供應商以取得修正。

另請參閱

https://tools.cisco.com/bugsearch/bug/CSCuv12333

https://tools.cisco.com/bugsearch/bug/CSCuv12338

https://tools.cisco.com/bugsearch/bug/CSCuv12340

https://tools.cisco.com/bugsearch/bug/CSCuv40396

https://tools.cisco.com/bugsearch/bug/CSCuv40469

https://tools.cisco.com/bugsearch/bug/CSCuv40528

https://tools.cisco.com/security/center/viewAlert.x?alertId=40433

https://tools.cisco.com/security/center/viewAlert.x?alertId=40441

https://tools.cisco.com/security/center/viewAlert.x?alertId=40442

https://tools.cisco.com/security/center/viewAlert.x?alertId=40443

https://tools.cisco.com/security/center/viewAlert.x?alertId=40444

https://tools.cisco.com/security/center/viewAlert.x?alertId=40445

Plugin 詳細資訊

嚴重性: Medium

ID: 85651

檔案名稱: cisco_telepresence_vcs_multiple_852.nasl

版本: 1.6

類型: remote

系列: CISCO

已發布: 2015/8/26

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2015-4303

CVSS v3

風險因素: Medium

基本分數: 6.3

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

弱點資訊

CPE: cpe:/h:cisco:telepresence_video_communication_server, cpe:/a:cisco:telepresence_video_communication_server, cpe:/a:cisco:telepresence_video_communication_server_software

必要的 KB 項目: Cisco/TelePresence_VCS/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/8/14

弱點發布日期: 2015/8/12

參考資訊

CVE: CVE-2015-4303, CVE-2015-4316, CVE-2015-4317, CVE-2015-4318, CVE-2015-4319, CVE-2015-4320

BID: 76322, 76347, 76350, 76351, 76353, 76366

CISCO-BUG-ID: CSCuv12333, CSCuv12338, CSCuv12340, CSCuv40396, CSCuv40469, CSCuv40528