12月22日,思科发布了安全更新,主要修复了IP电话TCP数据包发现的拒绝服务漏洞。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phone-flood-dos-YnU9EXOv
CVE-2020-3574 CVSS评分:7.5 高
Cisco IP电话的TCP数据包处理功能中的漏洞可能允许未经身份验证的远程攻击者导致电话停止响应传入呼叫,挂断呼叫或意外重新加载。该漏洞是由于TCP入口数据包速率限制不足所致。攻击者可以通过向目标设备发送持续不断的精心制作的TCP流量来利用此漏洞。成功的利用可能使攻击者影响电话的操作或导致电话重新加载,从而导致拒绝服务(DoS)状态。
受影响产品
如果以下Cisco IP电话正在运行易受攻击的固件版本(设备的默认配置),则此漏洞会影响它们:
IP DECT 210 Multi-Cell base Station with Multiplatform Firmware
IP DECT 6825 with Multiplatform Firmware
IP Phone 8811 Series with Multiplatform Firmware
IP Phone 8841 Series with Multiplatform Firmware
IP Phone 8851 Series with Multiplatform Firmware
IP Phone 8861 Series with Multiplatform Firmware
Unified IP Conference Phone 8831 for Third-Party Call Control
Webex Room Phone
解决方案
对于IP DECT 210 Multi-Cell base Station with Multiplatform Firmware,
IP DECT 6825 with Multiplatform Firmware: 升级固件至4.8.1版本
对于IP Phone 8811 Series with Multiplatform Firmware,
IP Phone 8841 Series with Multiplatform Firmware,
IP Phone 8851 Series with Multiplatform Firmware,
IP Phone 8861 Series with Multiplatform Firmware: 升级固件至11.3.2版本
对于Webex Room Phone: 升级固件至1.2.0(2021年2月)
对于Unified IP Conference Phone 8831 for Third-Party Call Control:官方暂未提供固件更新(可关注官方后续安全更新)
以下是升级修复重要说明:
1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。
2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。
3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。
4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x