发布日期：2007-10-17
更新日期：2007-10-18

受影响系统：

Cisco Intelligent Contact Manager 7.1(5)
Cisco Unified CallManager 5.1
Cisco Unified CallManager 5.0

不受影响系统：

Cisco Intelligent Contact Manager 7.2(3)

描述：

---

BUGTRAQ  ID: 26106
CVE(CAN) ID: CVE-2007-5539

Cisco Unified Communications Manager（CUCM，之前被称为CallManager）是Cisco IP电话解决方案中的呼叫处理组件。

CUCM产品中的Cisco Unified ICME、Unified ICMH、UCCE、UCCH和SUCCE Web管理组件存在漏洞，允许任意Windows活动目录域中所定义的用户获得非授权的权限级别，这允许Windows活动目录用户能够查看任意呼叫中心的Web View报表信息。Cisco SUCCE也受非授权访问Web Admin工具的影响，导致能够更改应用程序配置，包括编辑应用程序权限。

这个漏洞在Cisco Bug ID中记录为CSCsj55686。

<*来源：Cisco安全公告
  
  链接：http://secunia.com/advisories/27214/
        http://www.cisco.com/warp/public/707/cisco-sa-20071017-IPCC.shtml
*>

建议：

---

临时解决方法：

* 在中间节点ACL（tACL）策略中限制使用TCP 80端口的HTTP报文和TCP 443端口上的HTTPS报文的访问。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20071017-IPCC）以及相应补丁:
cisco-sa-20071017-IPCC：Cisco Unified Communications Web-based Management Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20071017-IPCC.shtml

补丁下载：
http://tools.cisco.com/support/downloads/go/MDFTree.x?butype=cc

浏览次数：3053
严重程度：0（网友投票）