漏洞信息详情
Cisco IOS Web配置接口安全认证可被绕过漏洞
- CNNVD编号:CNNVD-200107-164 <!--
- 危害等级: 超危-->
- 危害等级: 超危
- CVE编号: CVE-2001-0537
- 漏洞类型: 授权问题
- 发布时间: 2000-06-27
- 威胁类型: 远程
- 更新时间: 2005-05-02
- 厂 商: cisco
- 漏洞来源: David Hyams※ david...
-
漏洞简介
IOS是Cisco公司开发的路由器固件。IOS支持很多Cisoco设备(包括路由器和交换机)。 在Cisco IOS 11.3开始的版本存在一个安全问题,如果它开放了Web管理接口,将允许任意远程攻击者获取该设备的完全的管理权限。 攻击者只需要构造一个如下的URL: http://<device_addres>/level/xx/exec/.... 这里的xx是一个从16-99之间的整数。对于不同的设备,这个数值可能是不同的,但是攻击者仅需要测试84次即可找到正确的数值。 这个问题可能导致远程用户获取完全的管理权限,并进一步对网络进行渗透,也可能造成拒绝服务攻击漏洞。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 暂时禁止有问题设备的Web管理功能。 厂商补丁: Cisco ----- Cisco已经为此发布了一个安全公告(CI-01.08)以及相应补丁:
CI-01.08:IOS HTTP authorization vulnerability
链接:
您可以在下列地址看到公告的详细内容,同时根据您使用的Cisco设备的型号,选择相应的补丁或升级版本:
http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html
参考网址
来源:CERT/CC Advisory: CA-2001-14 名称: CA-2001-14 链接:http://www.cert.org/advisories/CA-2001-14.html 来源: BID 名称: 2936 链接:http://www.securityfocus.com/bid/2936 来源: CISCO 名称: 20010627 IOS HTTP authorization vulnerability 链接:http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html 来源: XF 名称: cisco-ios-admin-access(6749) 链接:http://xforce.iss.net/static/6749.php 来源: BUGTRAQ 名称: 20010702 Cisco device HTTP exploit... 链接:http://www.securityfocus.com/archive/1/[email protected] 来源: BUGTRAQ 名称: 20010629 Re: Cisco Security Advisory: IOS HTTP authorization vulnerability 链接:http://www.securityfocus.com/archive/1/[email protected] 来源: BUGTRAQ 名称: 20010702 ios-http-auth.sh 链接:http://www.securityfocus.com/archive/1/[email protected] 来源: BUGTRAQ 名称: 20010702 Cisco IOS HTTP Configuration Exploit 链接:http://www.securityfocus.com/archive/1/[email protected] 来源: OSVDB 名称: 578 链接:http://www.osvdb.org/578 来源: CIAC 名称: L-106 链接:http://www.ciac.org/ciac/bulletins/l-106.shtml
受影响实体
- Cisco Ios:12.0%2814%29w5%2820%29<!--2000-1-1-->
- Cisco Ios:12.1yd<!--2000-1-1-->
- Cisco Ios:12.1yc<!--2000-1-1-->
- Cisco Ios:12.0xs<!--2000-1-1-->
- Cisco Ios:12.1xx<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...