IBM安全公告:修正IBM-based Servers安全缺陷
涉及程序:
IBM-based Servers
描述:
IBM安全公告:修正IBM-based Servers安全缺陷
详细:
安装在IBM机器上运行的Cisco Unity服务器的缺省设置中包含缺省使用者账号及缺省IP地址。 1、本地用户账号:
本机用户账号:”bubba”账号,是一组制造商在制造过程不经意建立、且具备本机登入权限的使用者账号留在服务器中,这组账号可以让攻击者从远程登入,所造成风险有可能有二种:系统被攻陷及未授权的管理存取。
2、RAID管理程序:
在安装Cisco Unity服务器后,假如RAID管理服务被设定成自动执行,且不需要非本地服务器上即可执行,那么RAID服务会试着与RAID服务器建立起TCP session,而服务器地址是在生产过程中由制造商所输入设定的,并且会在机器上留下TCP Port 34571、以用于远程连结。
TCP连结会直接与RAID服务器的IP地址建立连结,而这组IP地址是嵌入RaidNLst.ser文件中,这个文件是保存在C:\PROGRAM\RaidMan目录底下。文件内容包含了RAID管理服务(RaidServ.exe)管理如何发送讯息及发送讯息对像是谁。RAID管理服务会尝试与制造商的测试网络环境中所架设RAID服务器连结上,
而且会在Cisco Unity留下TCP Port 34571,这组通讯端口在Cisco Unity服务器中保持监听,以备由外部进行建立TCP联机。而Cisco Unity服务器本身会一直试着可绕送性TCP/IP地址与RAID服务器取得联机。在INTERNET上使用这个方法的话,是不会响应任何PING的封包或建立联机要求。但是,建议管理员限制目前所知服务器进行建立联机意图,关闭所有没有使用的通讯端口才能确保服务器安全。
3、关于DHCP服务器
在安装Cisco Unity服务器完后,假如Cisco Unity服务器已被设定成从DHCP服务器取得一组IP地址、而且本地端DHCP服务器不存在时,那么Cisco Unity服务器会一直重复地送出封包、试图从制造商处所测试的网络环境中的DHCP服务器取得IP地址。制造商的DHCP服务器IP地址会一直被保留在Cisco Unity登录文件中,直到本地端的DHCP服务器被修改或指定一组定态IP给DHCP服务器使用,Cisco Unity服务器才会修改其登录文件中DHCP地址及主机名称。一旦DHCP 服务器地址曾经在本机端上解析(resolve),那么Cisco Unity服务器登录文件将更新有关DHCP服务器IP地址、主机名称等信息。
攻击方法:
暂无有效攻击代码
解决方案:
解决方案:
1、关于本地用户账号:
移除本机端账号:bubba。请管理员
1.打开Computer Management→按下开始(start)→设定(settings)→按控制台( Control Panel)
2.再按管理工具(Administrative Tools)→点击Computer Management。
3.按Local Users and Group folder→点击User folder→在用户「bubba」这组账号上鼠标右键选择删除(Delete)。
假如使用者账号「bubba」被移除,那么Local User Account这项缺陷就不存在了。
2、关于RAID管理程序
A.假如不想修改服务器上RaidNLst.ser,管理员可以在RAID Manager中移除整个磁盘数据系统:
1.至Start菜单单→选择程序(Programs)→然后再启动ServeRAID Mnager。
2.进入Actions菜单单→选择Configure ServeRAID Agent→再选Notifications。
3.在新窗口中,在每组不再需要使用的RAID管理服务器用鼠标右键选择DeleteSystem。
4.管理员关闭应用程序;注意:关闭RAID服务器是不需要重新启动。
注意:当产生一组全新、包含制造商地址之RaidNLst.ser后,请管理员务必通过程序手动修改新RaidNLst.ser,而非只是单纯地删除旧RaidNLst.ser文件。
B.在设定RAID管理服务方面,管理员关闭Cisco Unity服务器上所监听的TCP port 34571步骤:
1.开始(Start)菜单→指向设定(settings)→然后将鼠标光标移至控制台(ControlPanel)再选择服务(services)→选择ServeRAID Management Service。
2.选择ServeRAID Management Service→将ServeRAID Management Service属性改为关闭(disabled)服务。
3.到开始(Start)菜单→到程序区去(Programs)启动ServeRAID Manager→档案窗体键选择用户偏好再按选远程访问控制(remote access control)在开机模式(Startup Mode)底下检查本机端检查框(checkbox)。按ok、到产生结果对话框再按一下ok。之后,关闭应用程序。
同样地,上述方法也不需重新开机。假如RAID管理服务设定是局部使用,那么该缺陷就不会再出现。
3、关于DHCP服务器
假如在本地端没有DHCP服务器或没有指定一组静态IP地址给本地端DHCP服务器使用,那么Cisco Unity服务器会一直重复地送出封包、试图从制造商的测试网络环境中的DHCP服务器取得IP地址。一旦DHCP 服务器地址曾经在本机端上解析(resolve),那么Cisco Unity服务器登录档会更新文件中有关DHCP服务器IP地址、主机名称等信息,除此之外,就没有其它冲击再发生。
附加信息:
无