漏洞信息详情
Vsecurity TANDBERG Video Communication Server 多个远程漏洞
- CNNVD编号:CNNVD-201004-174
- 危害等级: 中危
- CVE编号: CVE-2009-4509
- 漏洞类型: 代码注入
- 发布时间: 2010-04-13
- 威胁类型: 远程
- 更新时间: 2010-04-15
- 厂 商: vsecurity
- 漏洞来源: Jon Hart and Timot...
漏洞简介
Tandberg Video Communication Server(VCS) 视讯通讯服务器具备支持SIP/H.323、穿越防火墙、多方来电转接等3大功能。
TANDBERG Video Communication Server (VCS)上运行的管理网络控制台在(1) tandberg/web/lib/secure.php 和(2) tandberg/web/user/lib/secure.php使用可预测的会话cookie,远程攻击者可通过特制“Cookie: tandberg_login=”HTTP头,载入自定义软件更新,轻易绕开认证,并执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://ftp.tandberg.com/pub/software/vcs/
参考网址
来源: MISC
链接:http://www.vsecurity.com/resources/advisory/20100409-1
来源: BUGTRAQ
名称: 20100410 CVE-2009-4509: TANDBERG VCS Authentication Bypass
链接:http://www.securityfocus.com/archive/1/archive/1/510672/100/0/threaded
来源: SECUNIA
名称: 39275
链接:http://secunia.com/advisories/39275
来源: ftp.tandberg.com
链接:http://ftp.tandberg.com/pub/software/vcs/TANDBERG%20Video%20Communication%20Server%20Software%20Release%20Notes%20%28X4%29.pdf
受影响实体
- Vsecurity Tandberg_video_communication_server:X4.2.1
- Vsecurity Tandberg_video_communication_server:X1.0.0
- Vsecurity Tandberg_video_communication_server:X4.2.0
- Vsecurity Tandberg_video_communication_server:X4.1.0
- Vsecurity Tandberg_video_communication_server:X3.1.0
补丁
- s42700x4_3_0
评论