Cisco Application Control Engine管理员IP地址重叠安全限制绕过漏洞

CVE编号

CVE-2012-3063

利用情况

暂无

补丁情况

N/A

披露时间

2012-06-21

漏洞描述

Cisco ACE Application Control Engine Module是下一代负载平衡和应用递送解决方案。Cisco ACE Application Control Engine Module A4(2.3)和A5(1.1)之前版本，在启用了multicontext模式时，未能正确共享管理IP地址，可允许远程已验证管理员绕过目标访问限制，读取或修改配置设置。

解决建议

Cisco已经为此发布了一个安全公告（cisco-sa-20120620-ace）以及相应补丁:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ace

参考链接
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://www.securitytracker.com/id?1027188

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	application_control_engine_software	*		Up to (including) a4\(2.0\)
	运行在以下环境
	应用	cisco	application_control_engine_software	a1(7)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a1(7a)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a1(7b)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a1(8)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a1(8a)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(1.0)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.1)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.2)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.3)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.4)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.5)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.6)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a3(2.7)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a4(1.0)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a4(1.1)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a4(2.1)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a4(2.2)	-
	运行在以下环境
	应用	cisco	application_control_engine_software	a5(1.0)	-

CVSS3评分 7.1

• 攻击路径 网络
• 攻击复杂度 高
• 权限要求 一次
• 影响范围 N/A
• 用户交互 无
• 可用性 完全地
• 保密性 完全地
• 完整性 完全地

AV:N/AC:H/Au:S/C:C/I:C/A:C CWE-ID 漏洞类型 CWE-362 使用共享资源的并发执行不恰当同步问题（竞争条件）