发布日期:2003-12-18

Cisco Unity默认用户帐户和IP地址漏洞

受影响系统：
Cisco 80-7111-01 for the UNITY-SVRX255-1A
Cisco 80-7112-01 for the UNITY-SVRX255-2A
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 9189

Cisco Unity是面向企业级机构的高级统一通信解决方案可以提供强大的消息发送服务和智能化的语音消息发送服务。

基于IBM服务器上的Cisco Unity服务程序包含默认用户帐户和默认IP地址，远程攻击者可以利用这些漏洞未授权访问服务系统。

以MCS服务器方式采购或直接IBM分销商后并以Cisco Unity Server映射盘安装的基于IMB的Cisco Unity服务存在默认本地帐户"bubba"和默认的RAID管理地址，默认DHCP服务器地址。

本地帐户"bubba"是在制造测试过程中建立的默认帐户。

在安装以后，如果RAID管理服务配置为自动启动并不限制在本地，服务就会尝试与RAID服务器地址建立TCP会话 。其中TCP直接连接的IP地址嵌入在C:\Program Files\RaidMan目录下RaidNLst.ser文件中，默认监听34571端口。

Unity安装完，如果服务程序配置为从DHCP服务器中获得IP地址并且本地服务不存在，它会持续发送包以从厂商测试网络中指定的DHCP服务器获得地址。厂商的DHCP服务器IP地址会包含在注册表中，除非本地DHCP服务器指定或者在本地服务器上实现一个静态条目。

<*来源：Cisco Security Advisory

链接：http://www.cisco.com/warp/public/707/cisco-sa-20031210-unity.shtml
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 关于本地用户帐户：

用户可以通过管理工具删除"bubba"本地用户。

RAID管理器问题：

在RaidNLst.ser文件中删除所有不想要的管理服务器条目。

设置RAID管理服务为本地监听，用户只要在控制面版中选择服务，选择ServeRAID Management Service并选择关闭。然后点击开始菜单和选择程序，启动ServeRAID Manager，选择文件菜单，选择user preferences ，然后点击Remote Access Setting标签，在启动模式中，选择Local。点击OK，并关闭应用程序。

DHCP问题

在初始化安装后，确保Cisco Unity Server不发送多个DHCP请求，及通过指定静态IP地址或本地地址来正确解析其IP地址。

厂商补丁：

Cisco
-----
Cisco将不发布补丁程序，用户可以通过临时解决方案处理此漏洞。