弱點通告:Cisco WebEx Meetings Server 存在資訊洩露弱點,建議請管理者儘速評估更新!
2017/05/16
風險等級: 高度威脅
摘  要:

Cisco WebEx Meetings Server 存在資訊洩露弱點,該弱點可能允許未經身份驗證的遠端攻擊者獲取客戶會議訊息。

目前已知會受到影響的版本為Cisco WebEx Meetings Server version 2.5, Cisco WebEx Meetings Server version 2.6, Cisco WebEx Meetings Server version 2.7, Cisco WebEx Meetings Server version 2.8,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Cisco WebEx Meetings Server version 2.5
  • Cisco WebEx Meetings Server version 2.6
  • Cisco WebEx Meetings Server version 2.7
  • Cisco WebEx Meetings Server version 2.8
  • 解決辦法: 客戶可以按照以下列表中指南為其各個版本啟用短URL 功能。注意:建議客戶在短URL 功能下配置長URL 連結選項,當長URL 連結功能被啟動,所有以前安排的會議都將變得無效,客戶必須重新安排所有現有的定期會議,建議客戶在重新安排安全保護措施時,更改會議密碼。
  • 版本2.5的管理指南
  • 版本2.6的管理指南
  • 版本2.7的管理指南
  • 版本2.8的管理指南
  • 細節描述:

    Cisco WebEx Meetings Server 中的資訊洩露弱點,可能允許未經身份驗證的遠端攻擊者獲取客戶會議訊息,該弱點是由於客戶託管的WebEx 解決方案上的robots.txt 文件配置不完整,並且在短URL 功能未啟用時發生,Cisco WebEx Meetings Server 為2.5MR4 之後的版本提供此功能。攻擊者可以透過揭發的參數及利用此弱點來尋找索引的會議訊息,成功的弱點利用可能使攻擊者獲得預定的會議訊息,並可能允許攻擊者參加預定的客戶會議。

    HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    Cisco (2017/05/10)
    US-CERT (2017/05/10)
    CNVD (2017/05/13)