漏洞信息详情

Vsecurity TANDBERG Video Communication Server 多个远程漏洞

• CNNVD编号：CNNVD-201004-174
• 危害等级： 中危
  
• CVE编号： CVE-2009-4509
• 漏洞类型： 代码注入
• 发布时间： 2010-04-13
• 威胁类型： 远程
• 更新时间： 2010-04-15
• 厂        商： vsecurity
• 漏洞来源： Jon Hart and Timot...

漏洞简介

Tandberg Video Communication Server(VCS) 视讯通讯服务器具备支持SIP/H.323、穿越防火墙、多方来电转接等3大功能。

TANDBERG Video Communication Server (VCS)上运行的管理网络控制台在(1) tandberg/web/lib/secure.php 和(2) tandberg/web/user/lib/secure.php使用可预测的会话cookie，远程攻击者可通过特制“Cookie： tandberg_login=”HTTP头，载入自定义软件更新，轻易绕开认证，并执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://ftp.tandberg.com/pub/software/vcs/

参考网址

来源: MISC

链接:http://www.vsecurity.com/resources/advisory/20100409-1

来源: BUGTRAQ

名称: 20100410 CVE-2009-4509: TANDBERG VCS Authentication Bypass

链接:http://www.securityfocus.com/archive/1/archive/1/510672/100/0/threaded

来源: SECUNIA

名称: 39275

链接:http://secunia.com/advisories/39275

来源: ftp.tandberg.com

链接:http://ftp.tandberg.com/pub/software/vcs/TANDBERG%20Video%20Communication%20Server%20Software%20Release%20Notes%20%28X4%29.pdf

受影响实体

• Vsecurity Tandberg_video_communication_server:X4.2.1  
• Vsecurity Tandberg_video_communication_server:X1.0.0  
• Vsecurity Tandberg_video_communication_server:X4.2.0  
• Vsecurity Tandberg_video_communication_server:X4.1.0  
• Vsecurity Tandberg_video_communication_server:X3.1.0  

补丁

• s42700x4_3_0