漏洞信息详情
Cisco IOS Secure Copy绕过访问授权漏洞
漏洞简介
Cisco IOS是Cisco网络设备中所使用的操作系统。
Cisco IOS中Secure Copy实现的服务器端存在漏洞,允许任何有效用户(无论其权限级别如何)从配置成Secure Copy服务器的IOS设备上下传输文件。
这个漏洞可能允许有效用户在设备的文件系统上检索或写入任意文件,包括设备保存的配置,而配置文件可能包含有口令或其他敏感信息。 这个漏洞不允许绕过认证;需要验证登录凭据,仅在提供了有效的用户名和口令的情况下才会允许访问。
漏洞公告
临时解决方法:
* 以全局配置模式执行以下命令禁用Secure Copy服务器:
no ip scp server enable
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20070808-scp)以及相应补丁:
cisco-sa-20070808-scp:Cisco IOS Secure Copy Authorization Bypass Vulnerability
链接:
http://www.cisco.com/warp/public/707/cisco-sa-20070808-scp.shtml
参考网址
来源: XF
名称: cisco-ios-scp-file-overwrite(35872)
链接:http://xforce.iss.net/xforce/xfdb/35872
来源: BID
名称: 25240
链接:http://www.securityfocus.com/bid/25240
来源: CISCO
名称: 20070808 Cisco IOS Secure Copy Authorization Bypass Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20070808-scp.shtml
来源: OVAL
名称: oval:org.mitre.oval:def:5542
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5542
来源: OSVDB
名称: 36694
链接:http://osvdb.org/36694
来源: SECTRACK
名称: 1018534
链接:http://www.securitytracker.com/id?1018534
来源: VUPEN
名称: ADV-2007-2817
链接:http://www.frsirt.com/english/advisories/2007/2817
来源: SECUNIA
名称: 26361
链接:http://secunia.com/advisories/26361
受影响实体
- Cisco Ios:12.2<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...