发布日期：2010-09-20
更新日期：2010-09-21

受影响系统：

Alcatel-Lucent OmniTouch Contact Center Standard Edition

描述：

---

BUGTRAQ  ID: 43340
CVE ID: CVE-2010-3279,CVE-2010-3280

OmniTouch Contact Center是新一代联络中心呼叫中心解决方案。

OmniTouch Contact Center服务器中启用了一些tcp/ip端口以方便管理员进行远程管理。由于没有正确地实现认证，攻击者无需认证便可使用产品所捆绑的Tsa_Maintainance.exe工具查看呼叫中心的状态和调试功能等信息。

此外在认证过程中TSA服务器将SuperUser的口令以明文发送给了客户端：

Name=SuperUser Password=072 175 173 176 173 177 181

上面的示例显示的是SuperUser账号名称和经过混淆的口令。第一个数字（72）是口令字符ascii十进制表示的偏移数。

175 - 72 = 103 == g
173 - 72 = 101 == e
...

因此明文口令为geheim。

<*来源：Axel Rengstorf
        Florian Walther
  
  链接：http://marc.info/?l=bugtraq&m=128500189428484&w=2
        http://secunia.com/advisories/41547/
        http://secunia.com/advisories/41509/
*>

建议：

---

厂商补丁：

Alcatel-Lucent
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://enterprise.alcatel-lucent.com/?product=ContactCenterStandardEdition&page=overview

浏览次数：2158
严重程度：0（网友投票）