Cisco IOS VTY绕过认证漏洞导致非授权访问
发布日期:2007-08-29
更新日期:2007-08-31
受影响系统:
Cisco IOS 12.2S
Cisco IOS 12.2F
Cisco IOS 12.2E
不受影响系统:
Cisco IOS 12.2(37)EY
Cisco IOS 12.2(35)SE
Cisco IOS 12.2(35)EX
Cisco IOS 12.2(31)SG
Cisco IOS 12.2(31)SB
Cisco IOS 12.2(18)SXE4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25482
Cisco IOS是思科网络设备所使用的操作系统。
IOS在特定配置情况下存在漏洞,远程攻击者可能利用此漏洞获取非授权访问。
如果设备上没有配置认证、授权和计费(AAA)的话,则在VTY/AUX或CONSOLE行中输入了任意配置(login命令除外)就会在VTY行下出现no login命令。尽管配置中会出现no login命令,但在将运行的配置保存到NVRAM并重载设备之前不会受漏洞影响。
<*来源:Cisco
链接:http://www.cisco.com/warp/public/707/cisco-sr-20070829-vty.shtml
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 用login配置VTY行以确保任何远程访问都会首先提示输入口令。
厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/warp/public/707/advisory.html(责任编辑:李磊)
最新相关文章发表评论