|
|
|
Cisco bít lỗ hổng nguy hiểm cho IP phones
23-08-2007 17:55
|
Cisco
System khuyến cáo người dùng sản phẩm IP Phones của hãng nên nhanh
chóng nâng cấp phần mềm nhằm khắc phục hai lỗ hổng bảo mật chết người
mới được phát hiện.
Thông tin từ bản tin cảnh báo bảo
mật của Cisco cho biết lỗi bảo mật bắt nguồn từ thủ tục Session
Initiation Protocol (SIP). Tin tặc có thể lợi dụng lỗi bảo mật này để
tổ chức tấn công từ chối dịch vụ nhằm vô hiệu hoá thiết bị. Đáng ngạc
nhiên tin tặc chỉ cần gửi khoảng 10 tin nhắn SIP là đã có thể vô hiệu
hoá được thiết bị.
Tuy nhiên, lỗi bảo mật này không thể bị lợi dụng để giúp tin tặc đoạt được quyền thực thi mã nhị phân trên thiết bị mắc lỗi.
Những
sản phẩm được xác nhận mắc lỗi gồm Cisco 7940/7960 IP Phones sử dụng
phiên bản phần mềm trước phiên bản 8.7. Người dùng được khuyến cáo là
nên nhanh chóng nâng cấp phần mềm lên phiên bản mới nhất 8.7.
Cisco
cho biết nguyên nhân gốc rễ của trục trặc bắt nguồn từ thiết kế giao
diện điều khiển thiết bị dạng HTTP. Giao diện này cho phép nhà quản trị
có thể điều khiển thiết bị từ xa. Không những thế mọi thông tin chứng
thực sau khi nhà quản trị đăng nhập đều được lưu lại trên thiết bị. Bất
kỳ một ai ngay sau đó đăng nhập trở lại đều không cần phải chứng thực
nữa.
Nguy cơ tấn công chỉ xảy ra nếu nhà quản trị sử dụng tính
năng điều khiển từ xa qua HTTP nói trên. Cisco cho biết thông tin chỉ
được xoá nếu thiết bị được reset hoặc khởi động lại.
Người dùng đã đăng ký với Cisco có thể truy cập vào đây để tải về bản sửa lỗi.
Hoàng Dũng - (Register, CNet) (Theo VnMedia) |
|
|
|