Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Polycom vá lỗ hổng trên điện thoại VVX dành cho doanh nghiệp
Polycom vừa đưa ra bản cập nhật cho lỗ hổng ảnh hưởng đến nhiều sản phẩm điện thoại VVX dành cho doanh nghiệp của hãng này.
Lỗ hổng được chuyên gia phát hiện vào tháng 6, trong khi phân tích giao diện quản trị web của điện thoại Polycom IP VVX 600. Theo đó, các truy vấn mà giao diện điện thoại sử dụng để hiển thị hình ảnh và nhạc chuông chứa các tên file.
“Bất cứ ai trong lĩnh vực an ninh ứng dụng web đều biết rằng việc để lộ các thông tin như tên, đường dẫn file với người dùng web là nguy hiểm, có thể dẫn đến các cuộc tấn công”, chuyên gia của Depth Security giải thích.
Chuyên gia cũng cho biết, bằng cách sử dụng ‘../../’ chúng ta có thể lấy tập tin chứa nhạc chuông, hình nền và truy cập các nội dung tập tin nhạy cảm khác như ‘/etc/passwd’.
Theo Polycom, lỗ hổng ảnh hưởng tới các điện thoại Polycom VVX 101 và 201 , các mẫu cơ bản VVX 300 và 310, các mẫu dòng trung 400 và 410, mẫu VVX 500 và VVX 600 và 1500.
Các phiên bản bị ảnh hưởng: 4.1.8 và trước đó, 5.2.3 và trước đó, 5.3.1 và trước đó, 5.4.0 và các phiên bản trước của phần mềm kết nối đồng nhất (UC).
Vấn đề đã được thông báo cho Polycom vào giữa tháng 6 và được hãng khắc phục vào cuối tháng 12 bằng việc đưa ra các phiên bản 5.2.4, 5.3.2 và 5.4.0A. Polycom đã đưa ra cảnh báo và chi tiết lỗ hổng vào tuần trước.
Polycom khuyến cáo người dùng điện thoại VVX của hãng cập nhật phần mềm lên phiên bản mới nhất. Các khách hàng không thể cập nhật có thể hạn chế lỗ hổng bằng cách vô hiệu hóa web server trên các thiết bị bị ảnh hưởng.
Polycom đánh giá mức nguy hiểm của lỗ hổng ở mức 5.8 - mức trung bình. Cùng với việc đưa ra bản vá, Polycom cũng cập nhật các chính sách an ninh cho các kết nối đồng nhất.
Trong năm nay, Polycom đã đưa ra bản vá cho hàng chục lỗ hổng trên nhiều sản phẩm, bao gồm cả các lỗ hổng nguy hiểm như Ghost, Logjam và POODLE. Năm 2014, Polycom cũng cảnh báo khách hàng về việc sản phẩm tồn tại lỗ hổng lõi Bash có tên gọi Shellshock.
Polycom hiện cung cấp các điện thoại hội nghị, gọi video và giải pháp hạ tầng cho hơn 415.000 cơ quan, tổ chức trên toàn thế giới.
Nguồn: SecurityWeek
Lỗ hổng được chuyên gia phát hiện vào tháng 6, trong khi phân tích giao diện quản trị web của điện thoại Polycom IP VVX 600. Theo đó, các truy vấn mà giao diện điện thoại sử dụng để hiển thị hình ảnh và nhạc chuông chứa các tên file.
“Bất cứ ai trong lĩnh vực an ninh ứng dụng web đều biết rằng việc để lộ các thông tin như tên, đường dẫn file với người dùng web là nguy hiểm, có thể dẫn đến các cuộc tấn công”, chuyên gia của Depth Security giải thích.
Chuyên gia cũng cho biết, bằng cách sử dụng ‘../../’ chúng ta có thể lấy tập tin chứa nhạc chuông, hình nền và truy cập các nội dung tập tin nhạy cảm khác như ‘/etc/passwd’.
Theo Polycom, lỗ hổng ảnh hưởng tới các điện thoại Polycom VVX 101 và 201 , các mẫu cơ bản VVX 300 và 310, các mẫu dòng trung 400 và 410, mẫu VVX 500 và VVX 600 và 1500.
Các phiên bản bị ảnh hưởng: 4.1.8 và trước đó, 5.2.3 và trước đó, 5.3.1 và trước đó, 5.4.0 và các phiên bản trước của phần mềm kết nối đồng nhất (UC).
Vấn đề đã được thông báo cho Polycom vào giữa tháng 6 và được hãng khắc phục vào cuối tháng 12 bằng việc đưa ra các phiên bản 5.2.4, 5.3.2 và 5.4.0A. Polycom đã đưa ra cảnh báo và chi tiết lỗ hổng vào tuần trước.
Polycom khuyến cáo người dùng điện thoại VVX của hãng cập nhật phần mềm lên phiên bản mới nhất. Các khách hàng không thể cập nhật có thể hạn chế lỗ hổng bằng cách vô hiệu hóa web server trên các thiết bị bị ảnh hưởng.
Polycom đánh giá mức nguy hiểm của lỗ hổng ở mức 5.8 - mức trung bình. Cùng với việc đưa ra bản vá, Polycom cũng cập nhật các chính sách an ninh cho các kết nối đồng nhất.
Trong năm nay, Polycom đã đưa ra bản vá cho hàng chục lỗ hổng trên nhiều sản phẩm, bao gồm cả các lỗ hổng nguy hiểm như Ghost, Logjam và POODLE. Năm 2014, Polycom cũng cảnh báo khách hàng về việc sản phẩm tồn tại lỗ hổng lõi Bash có tên gọi Shellshock.
Polycom hiện cung cấp các điện thoại hội nghị, gọi video và giải pháp hạ tầng cho hơn 415.000 cơ quan, tổ chức trên toàn thế giới.
Nguồn: SecurityWeek