发布日期：2010-04-21
更新日期：2010-04-22

受影响系统：

Cisco Wireless-G PTZ Internet Video Camera WVC210
Cisco Wireless-G PTZ Internet Video Camera WVC200
Cisco Wireless-G Business Internet Video Camera WVC2300
Cisco RVS4000 4-port Gigabit Security Router
Cisco Business Internet Video Camera PVC2300

描述：

---

BUGTRAQ  ID: 39612
CVE ID: CVE-2010-0593

Cisco Small Business视频监控摄像头是基于网络的物理安全解决方案的一个组件，Cisco RVS4000千兆安全路由器可为多达5位用户提供高速的网络访问和IPsec VPN功能。

Cisco Small Business视频监控摄像头和Cisco RVS4000 4口千兆安全路由器中的漏洞可能允许已认证用户查看其他用户的口令，无论认证用户的授权级别如何。非特权用户可以利用这个漏洞获得对设备的管理访问或查看其他用户的凭据。

PVC2300和WVC2300摄像头上的用户可使用特制的URL绕过任何防止查看设备配置的限制，然后查看设备上所有用户的口令；WVC200和WVC210摄像头上的用户必须给予了setup权限才可以利用这个漏洞查看口令。受这个漏洞影响的其他设备上无法配置setup权限。
  
RVS4000路由器上的管理员用户可查看其他管理员用户的口令。

<*来源：Cisco
  
  链接：http://secunia.com/advisories/39510/
        http://www.cisco.com/warp/public/707/cisco-sa-20100421-vsc.shtml
*>

建议：

---

临时解决方法：

* 在WVC200和WVC210摄像头上，确认仅给予可信任用户setup权限。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20100421-vsc）以及相应补丁:
cisco-sa-20100421-vsc：Cisco Small Business Video Surveillance Cameras and Cisco 4-Port Gigabit Security Routers Authentication Bypass Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20100421-vsc.shtml

补丁下载：
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=282414029
http://tools.cisco.com/support/downloads/pub/Redirect.x?mdfid=282413304

浏览次数：2320
严重程度：0（网友投票）