JVNVU#436854
Cisco Tandberg E, EX および C Series における root アカウントのデフォルト認証情報の問題
ソフトウェアのバージョンが TC4.0.0 より前の Cisco Tandberg C Series Endpoints および E/EX Personal Video は、デフォルト設定で root アカウントがパスワード無しの状態で有効になっています。
Cisco Advisory cisco-sa-20110202-tandberg に記載された情報:
This
vulnerability affects Tandberg C Series Endpoints and E/EX Personal
Video units, including software that is running on the C20, C40, C60,
C90, E20, EX60, and EX90 codecs. The software version of the Tandberg
unit can be determined by logging into the web-based user interface (UI)
or using the "xStatus SystemUnit" command.
Users can determine
the Tandberg software version by entering the IP address of the codec in
a web browser, authenticating (if the device is configured for
authentication), and then selecting the "system info" menu option. The
version number is displayed after the "Software Version" label in the
System Info box.
Alternatively the software version can be
determined from the device's application programmer interface using the
"xStatus SystemUnit" command. The software version running on the codec
is displayed after the "SystemUnit Software Version" label. The output
from "xStatus SystemUnit" will display a result similar to the
following:"
xStatus SystemUnit
*s SystemUnit ProductType: "Cisco TelePresence Codec"
*s SystemUnit ProductId: "Cisco TelePresence Codec C90"
*s SystemUnit ProductPlatform: "C90"
*s SystemUnit Uptime: 597095
*s SystemUnit Software Application: "Endpoint"
*s SystemUnit Software Version: "TC4.0"
*s SystemUnit Software Name: "s52000"
*s SystemUnit Software ReleaseDate: "2010-11-01"
*s SystemUnit Software MaxVideoCalls: 3
*s SystemUnit Software MaxAudioCalls: 4
*s SystemUnit Software ReleaseKey: "true"
*s SystemUnit Software OptionKeys NaturalPresenter: "true"
*s SystemUnit Software OptionKeys MultiSite: "true"
*s SystemUnit Software OptionKeys PremiumResolution: "true"
*s SystemUnit Hardware Module SerialNumber: "B1AD25A00003"
*s SystemUnit Hardware Module Identifier: "0"
*s SystemUnit Hardware MainBoard SerialNumber: "PH0497201"
*s SystemUnit Hardware MainBoard Identifier: "101401-3 [04]"
*s SystemUnit Hardware VideoBoard SerialNumber: "PH0497874"
*s SystemUnit Hardware VideoBoard Identifier: "101560-1 [02]"
*s SystemUnit Hardware AudioBoard SerialNumber: "N/A"
*s SystemUnit Hardware AudioBoard Identifier: ""
*s SystemUnit Hardware BootSoftware: "U-Boot 2009.03-65"
*s SystemUnit State System: Initialized
*s SystemUnit State MaxNumberOfCalls: 3
*s SystemUnit State MaxNumberOfActiveCalls: 3
*s SystemUnit State NumberOfActiveCalls: 1
*s SystemUnit State NumberOfSuspendedCalls: 0
*s SystemUnit State NumberOfInProgressCalls: 0
*s SystemUnit State Subsystem Application: Initialized
*s SystemUnit ContactInfo: "helpdesk@company.com"
** end
該当製品にアクセス可能な第三者によって、管理者権限を取得される可能性があります。
アップデートする
Cisco が提供する情報をもとに、TC4.0.0 もしくはそれ以降のバージョンにアップデートしてください。
TC4.0.0 もしくはそれ以降のバージョンでは、デフォルトで root アカウントが無効になっています。なお、TC4.0.0 のデフォルト設定では、administrator アカウント (root アカウントとは異なります) のパスワードが設定されていません。administrator アカウントのパスワードを設定する必要があります。
TC4.0.0 より前のバージョンでは、root アカウントを無効にすることができません。root アカウントのパスワードは administrator アカウントのパスワードと同じ情報が設定されます。
詳しくは Cisco の提供する情報をご確認ください。
-
Cisco Tandberg E, EX, and C Series default root credentials
US-CERT Vulnerability Note VU#436854
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2011-0354 |
JVN iPedia |
JVNDB-2011-001149 |
- 2011/03/28
- 関連文書に JVN iPedia へのリンクを追加しました。