Pingtel Expressa存在管理帐户登录会话超时漏洞发布时间:2002-07-15 更新时间:2002-07-15 严重程度:中 威胁程度:控制应用程序系统 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5221 CVE(CAN) ID:CAN-2002-0674 受影响系统 Pingtel Expressa 1.2.5详细描述 Expressa是Pingtel开发的基于JAVA的VOIP电话程序。 Expressa phones的管理员登录没有超时设置,如果管理员通过面板登录电话,管理员会一直登录在电话中,知道管理员选择"OK"或者"Cancel",如果管理忘记按这些键就可以导致任意物理能访问电话的用户再次以管理员访问。 测试代码 无 解决方案 补丁下载: Pingtel Expressa 1.2.5: Pingtel Upgrade v2.0.1 http://www.pingtel.com/s_upgrades.jsp Pingtel Expressa 1.2.7 .4: Pingtel Upgrade v2.0.1 http://www.pingtel.com/s_upgrades.jsp 相关信息 Ofir Arkin <ofir@atstake.com>和Josh Anderson <josh@atstake.com>. 参考:http://online.securityfocus.com/advisories/4276 http://www.pingtel.com/s_docadmin.jsp http://www.pingtel.com/docs/best_practices_20x.txt http://www.pingtel.com/PingtelAtStakeAdv |
