正文

Cisco ACE应用控制引擎模块和Cisco ACE 4710应用控制引擎未明SNMPv3报文拒绝服务攻击漏洞

admin
admin V管理员 /0 评论 /15 阅读
0105
此篇文章发布距今已超过1216天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Cisco ACE应用控制引擎模块和Cisco ACE 4710应用控制引擎未明SNMPv3报文拒绝服务攻击漏洞

  • CNNVD编号:CNNVD-200902-616
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2009-0625
  • 漏洞类型: 代码注入
  • 发布时间: 2009-02-26
  • 威胁类型: 远程
  • 更新时间: 2009-03-03
  • 厂        商: cisco
  • 漏洞来源: Cisco安全公告

漏洞简介

Cisco应用联网管理器(ANM)是用于管理Cisco应用控制引擎(ACE)模块或设备的网络管理应用,安装在Red Hat Enterprise Linux操作系统的客户服务器上;ACE设备管理器位于ACE设备的闪存中,提供了用于配置和管理单个ACE设备的基于浏览器的接口。

Catalyst 6500交换机和7600路由器的Cisco ACE应用程序以及Cisco ACE 4710的控制引擎程序存在未明漏洞。远程攻击者可以利用特制的SNMPv3包造成拒绝服务(设备重新加载)。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

Cisco已经为此发布了一个安全公告(cisco-sa-20090225-ace)以及相应补丁:

cisco-sa-20090225-ace:Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine

http://www.cisco.com/warp/public/707/cisco-sa-20090225-ace.shtml"

补丁下载:

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=280557289

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=281222179

临时解决方法:

默认用户名和口令

如果要更改默认的管理口令,以配置模式使用username命令,该命令句法如下:

#username admin [password [0 | 5] {password}]

特制SSH报文漏洞

可通过使用类映射、策略映射和服务策略控制ACE所接收到的SSH管理通讯。

以下示例显示如何仅允许来自192.168.100.1的主机SSH访问ACE:

Configure a class to allow SSH from the trusted source

#class-map type management match-all Permit_SSH_Class

# description Allow SSH from trusted sources Class

# match protocol ssh source-address 192.168.100.1 255.255.255.255

Configure a management policy that allows ssh from the

#trusted source configured in the above class

#policy-map type management first-match Permit_SSH_Policy

#description Allow SSH from trusted sources Policy

# class Permit_SSH_Class

permit Apply the management policy globally

#service-policy input Permit_SSH_Policy

特制SNMPv2和SNMPv3报文漏洞

可通过使用类映射、策略映射和服务策略控制ACE所接收到的SNMP管理通讯。

Configure a class to allow SNMP from the trusted source

#class-map type management match-all Permit_SNMP_Class

#description Allow SNMP from trusted sources Class

# match protocol snmp source-address 192.168.100.1 255.255.255.255

Configure a management policy that allows snmp from the

#-trusted source configured in the above class

#policy-map type management first-match Permit_SNMP_Policy

#description Allow SNMP from trusted sources Policy

#class Permit_SNMP_Class

Permit Apply the management policy globally

#service-policy input Permit_SNMP_Policy

参考网址

来源: SECTRACK

名称: 1021769

链接:http://www.securitytracker.com/id?1021769

来源: BID

名称: 33900

链接:http://www.securityfocus.com/bid/33900

来源: CISCO

名称: 20090225 Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080a7bc82.shtml

受影响实体

  • Cisco Application_control_engine_module:A2%281.1%29  
    <!--
    2000-1-1
    -->
  • Cisco Ace_4710:A1%282.0%29  
    <!--
    2000-1-1
    -->

补丁

    暂无