【活用ガイド】

JVNDB-2011-001149

Cisco Tandberg E, EX および C Series における root アカウントのデフォルト認証情報の問題

概要

ソフトウェアのバージョンが TC4.0.0 より前の Cisco Tandberg C Series Endpoints および E/EX Personal Video は、デフォルト設定で root アカウントがパスワード無しの状態で有効になっています。

Cisco Advisory cisco-sa-20110202-tandberg に記載された情報:

This vulnerability affects Tandberg C Series Endpoints and E/EX Personal Video units, including software that is running on the C20, C40, C60, C90, E20, EX60, and EX90 codecs. The software version of the Tandberg unit can be determined by logging into the web-based user interface (UI) or using the “xStatus SystemUnit” command.

Users can determine the Tandberg software version by entering the IP address of the codec in a web browser, authenticating (if the device is configured for authentication), and then selecting the “system info” menu option. The version number is displayed after the “Software Version” label in the System Info box.

Alternatively the software version can be determined from the device's application programmer interface using the “xStatus SystemUnit” command. The software version running on the codec is displayed after the “SystemUnit Software Version” label. The output from “xStatus SystemUnit” will display a result similar to the following:”

xStatus SystemUnit  *s SystemUnit ProductType: “Cisco TelePresence Codec”
*s SystemUnit ProductId: “Cisco TelePresence Codec C90”
*s SystemUnit ProductPlatform: “C90”
*s SystemUnit Uptime: 597095
*s SystemUnit Software Application: “Endpoint”
*s SystemUnit Software Version: “TC4.0”
*s SystemUnit Software Name: “s52000”
*s SystemUnit Software ReleaseDate: “2010-11-01”
*s SystemUnit Software MaxVideoCalls: 3
*s SystemUnit Software MaxAudioCalls: 4
*s SystemUnit Software ReleaseKey: “true”
*s SystemUnit Software OptionKeys NaturalPresenter: “true”
*s SystemUnit Software OptionKeys MultiSite: “true”
*s SystemUnit Software OptionKeys PremiumResolution: “true”
*s SystemUnit Hardware Module SerialNumber: “B1AD25A00003”
*s SystemUnit Hardware Module Identifier: “0”
*s SystemUnit Hardware MainBoard SerialNumber: “PH0497201”
*s SystemUnit Hardware MainBoard Identifier: “101401-3 [04]“
*s SystemUnit Hardware VideoBoard SerialNumber: “PH0497874”
*s SystemUnit Hardware VideoBoard Identifier: “101560-1 [02]“
*s SystemUnit Hardware AudioBoard SerialNumber: “N/A”
*s SystemUnit Hardware AudioBoard Identifier: ”“
*s SystemUnit Hardware BootSoftware: “U-Boot 2009.03-65”
*s SystemUnit State System: Initialized
*s SystemUnit State MaxNumberOfCalls: 3
*s SystemUnit State MaxNumberOfActiveCalls: 3
*s SystemUnit State NumberOfActiveCalls: 1
*s SystemUnit State NumberOfSuspendedCalls: 0
*s SystemUnit State NumberOfInProgressCalls: 0
*s SystemUnit State Subsystem Application: Initialized
*s SystemUnit ContactInfo: “helpdesk@company.com”
** end
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


シスコシステムズ
  • Cisco Tandberg C Series Endpoints
  • Cisco Tandberg E/EX Personal Video units

想定される影響

該当製品にアクセス可能な第三者によって、管理者権限を取得される可能性があります。
対策

[アップデートする]
Cisco が提供する情報をもとに、TC4.0.0 もしくはそれ以降のバージョンにアップデートしてください。

TC4.0.0 もしくはそれ以降のバージョンでは、デフォルトで root アカウントが無効になっています。なお、TC4.0.0 のデフォルト設定では、administrator アカウント (root アカウントとは異なります) のパスワードが設定されていません。administrator アカウントのパスワードを設定する必要があります。

TC4.0.0 より前のバージョンでは、root アカウントを無効にすることができません。root アカウントのパスワードは administrator アカウントのパスワードと同じ情報が設定されます。

詳しくは Cisco の提供する情報をご確認ください。
ベンダ情報

シスコシステムズ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-0354
参考情報

  1. JVN : JVNVU#436854
  2. National Vulnerability Database (NVD) : CVE-2011-0354
  3. US-CERT Vulnerability Note : VU#436854
  4. Secunia Advisory : SA43158
  5. SecurityFocus : 46107
  6. SecurityTracker : 1025017
更新履歴

  • [2011年03月03日]
      掲載