Cisco IP Phone 7960未签字内容存在问题发布时间:2002-09-24 更新时间:2002-09-24 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5758 受影响系统 Cisco IP Phone 7960详细描述 Cisco IP Phone 7960使用TFTP下载固件映象和配置文件,TFTP不提供验证机制。 固件映象没有签字,因此客户端就不能判断固件信息是否验证。高版本的固件映象文件都被设备信任并在设备启动的时候自动装载。而这些过程又是透明无需交互。 如果攻击者控制TFTP服务器,就可以导致恶意固件装载到设备中。 测试代码 无 解决方案 无 相关信息 "Ofir Arkin" <ofir@sys-security.com>. 参考:http://online.securityfocus.com/archive/1/292460 |
