发布日期：2008-04-01
更新日期：2008-04-15

受影响系统：

Alcatel-Lucent OmniPCX Office >= 210/061.1

不受影响系统：

Alcatel-Lucent OmniPCX Office 510/037.001
Alcatel-Lucent OmniPCX Office 410/057.001
Alcatel-Lucent OmniPCX Office 310/056.001
Alcatel-Lucent OmniPCX Office 210/091.001

描述：

---

BUGTRAQ  ID: 28758
CVE(CAN) ID: CVE-2008-1331

阿尔卡特的OmniPCX Office是一套为中小型企业设计的统一通信解决方案。

OmniPCX Office的Internet Access服务所使用的一个CGI脚本没有正确地过滤某些特定参数，允许远程攻击者从Internet检索敏感信息。

<*来源：Digital Security
  
  链接：http://secunia.com/advisories/29798/
        http://www1.alcatel-lucent.com/psirt/statements/2008001/OXOrexec.htm
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁止从Internet的WBM/WCA访问

对于R2.1到R4.1版本：

以管理帐号登录到WBM
找到Firewall配置屏幕
选择Firewall Settings URL
选择Services标签
反选Web-Based Management (WBM)
反选Web-Communication Assistant
应用修改
注销

对于R5.1到R6.1版本：

以管理帐号登录到WBM
找到Firewall配置屏幕
选择Firewall Settings URL
选择HTTP/HTTPS标签
反选HTTPS services (“Services available from WAN network using HTTPS”)
反选HTTP services (“Services available from WAN network using HTTP”)
应用修改
注销

厂商补丁：

Alcatel-Lucent
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www1.alcatel-lucent.com/products/productsummary.jsp?productNumber=tcm:228-1280151635

浏览次数：2464
严重程度：0（网友投票）