思科旗下的统一CDM（通信域名管理器）被曝包含一个默认无法修改的特权账户并使用静态密码，攻击者可利用对平台进行远程攻击和入侵。
漏洞影响
思科旗下的统一CDM是思科托管协作解决（HCS）中的UC域名管理器。它使得思科统一通信管理器、思科统一连接、思科Jabber应用以及相关的手机和软件客户端具有自动化和管理功能。
4.4.5版本之前的思科统一通信域名管理器平台软件都受此漏洞的影响，但是思科统一通信域名管理器版本10.x 并未受影响，因为它并未包含受影响的平台软件。思科安全报告中陈述道：
“思科统一CDM平台软件中存在一个漏洞，该漏洞允许未经身份验证的远程攻击者以root权限用户进行登录，并可以完全控制受影响的系统。该漏洞之所以存在，是因为一个特权账户拥有了一个默认的静态密码。在安装该软件时就创建了此账户，并且在不影响系统功能的前提下，无法修改或删除该账户，使用该账户通过SSH远程连接到受影响的系统，攻击者就可以利用这个漏洞。一个利用代码可以允许攻击者完全控制整个受影响的系统。”

思科公司证实了该漏洞的存在。该漏洞利用起来非常简单，攻击者可以通过SSH远程连接到统一CDM平台，并可以以具有root权限的账户身份登录，这使得攻击者有可能控制整个思科统一CDM平台，并能够窃取该平台上管理的所有数据。思科公司对该漏洞的严重性评级为10，即最高的安全等级。
已发布漏洞补丁
思科已经修复了思科统一CDM平台中的该漏洞，并发布了免费软件升级来解决这个问题。这份安全报告可以在这里下载到。
值得注意的是，将管理凭证或SSH密钥进行硬编码这类事件已经不是第一次。就在几周前，思科的安全专家在思科的很多安全设备中都发现存在一个默认的SSH密钥

----------------------------------
不知道sis用的是什么网络设备，如果用的也是思科的话，要小心了！
据我分析，这个应该是思科自己留的后门，很有可能是应美国国家要求预留的后门。这次被人揭露出来了，不得不修复了！
不知道国内有多少公司要中招，或者已经中招！

[ 本帖最后由 魔 于 2015-7-10 14:13 编辑 ]

太高深了，虽然每个字都认识，但几乎完全不懂是什么意思。
楼主你牛。