CH azonosító
CH-5303Angol cím
D-Link DPH 150s IP Phone Multiple VulnerabilitiesFelfedezés dátuma
2011.08.02.Súlyosság
KözepesÖsszefoglaló
A D-Link DPH 150s IP telefon több sérülékenysége vált ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat, szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak vagy feltörhetik a sérülékeny eszközt.
Leírás
- A web menedzsment interfész nem korlátozza az eszköz konfigurációs fájljához történő hozzáférést, ami kihasználható bizonyos rendszer konfigurációs információk felfedésére (mint pl.: adminisztratív bizonyítvány (credential)).
- A web menedzsment interfészen belül jelentkező hiba kihasználható, hogy egy konfigurációs fájlt feltöltsenek az eszközre.
- A web menedzsment interfészen belül jelentkező hiba kihasználható az eszköz LCD kijelzőjén megjelenő üzenet megváltoztatására.
- A web menedzsment interfészen belül jelentkező hiba kihasználható az eszköz újraindítására.
A sérülékenységeket az FRU1.7.291.130 és korábbi firmware verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Misconfiguration (Konfiguráció)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: en.securitylab.ru
SECUNIA 45438