Pingtel Expressa任意固件升级漏洞发布时间:2002-07-15 更新时间:2002-07-15 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5223 CVE(CAN) ID:CAN-2002-0675 受影响系统 Pingtel Expressa 1.2.5详细描述 Expressa是Pingtel开发的基于JAVA的VOIP电话程序。 其中存在漏洞,用户可以随意升级电话的固件,Expressa电话允许用户不需要认证以管理员身份升级固件。 测试代码 无 解决方案 补丁下载: Pingtel Expressa 1.2.5: Pingtel Upgrade v2.0.1 http://www.pingtel.com/s_upgrades.jsp Pingtel Expressa 1.2.7 .4: Pingtel Upgrade v2.0.1 http://www.pingtel.com/s_upgrades.jsp 相关信息 Ofir Arkin <ofir@atstake.com>和Josh Anderson <josh@atstake.com>. 参考:http://online.securityfocus.com/advisories/4276 http://www.pingtel.com/s_docadmin.jsp http://www.pingtel.com/docs/best_practices_20x.txt http://www.pingtel.com/PingtelAtStakeAdv |
