思科安全公告提示Cisco Unified CDM有漏洞

　　近日思科(Cisco)在安全通告中表示，旗下的Unified Communications Domain Manager(Cisco Unified CDM)含有3个安全漏洞。其中一个漏洞原本是为了方便思科进行客户服务所留的后门，然而一旦被滥用，所有客户系统都会面临危险。

　　Unified Communications Domain Manager为一企业专用的通讯管理软件平台，可自动化管理Cisco Unified Communications Manager、 Cisco Unity Connection及Cisco Jabber等应用程序，以及相容的手机或客户端软件。思科在该软件平台上发现了3个安全漏洞，分别是权限扩张漏洞、预设SSH密钥漏洞，以及BVSMWeb擅自操作资料漏洞等。

　　其中，权限扩张漏洞是因管理介面的认证与授权控制部署不当，让黑客能够更改使用者的管理凭证，但黑客必须先以有效的使用者身份登入才行。而预设SSH密钥漏洞源自于SSH私密密钥是以不安全的方式储存于系统上，使得黑客有机会取得SSH私密密钥，并得以最高权限存取系统，被视为非常危险的漏洞。

　　思科安全公告提示Cisco Unified CDM有漏洞

　　美国系统网路安全研究院(SANS Institute)指出，思科为了方便提供客户支持，在系统上留了一个后门，于所有的系统上配备同样的密钥，由于该密钥也存在于客户的系统上，代表拥有该系统的人，就拥有能够存取所有其他系统的密钥。SANS还认为这应该是会最先被攻击的漏洞。

　　本周思科已发布更新程序修补权限扩张及预设SSH密钥漏洞。至于BVSMWeb擅自操作资料漏洞则可允许黑客存取或修改BVSMWeb入口网站的使用者资讯，诸如个人手机目录中的设定、快速播号或快速键或转接等设定，思科表示会尽快修补该漏洞。