Cisco IOS安全拷贝功能权限提升漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183261 漏洞类型 权限许可和访问控制
发布时间 2009-03-25 更新时间 2009-03-25
CVE编号 CVE-2009-0637 CNNVD-ID CNNVD-200903-488
漏洞平台 N/A CVSS评分 7.1
|漏洞来源
https://www.securityfocus.com/bid/34247
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-488
|漏洞详情
CiscoIOS是美国思科(Cisco)公司为其网络设备开发的操作系统。安全拷贝(SCP)协议类似于远程拷贝(RCP)协议,允许在系统之间传输文件。CiscoIOS软件中SCP实现的服务器端存在漏洞,可能允许附加了CLI视图的认证用户从配置为SCP服务器的CiscoIOS设备传输文件,无论CLI视图配置授权给哪些用户上述权限。这个漏洞允许有效用户在设备的系统文件上检索或写入任意文件(包括设备保存的配置和CiscoIOS镜像文件),即使附加给用户的CLI视图不允许这些操作。配置文件中可能包含有口令或其他敏感信息。
|受影响的产品
Cisco IOS 12.4YA Cisco IOS 12.4XZ Cisco IOS 12.4XY Cisco IOS 12.4XW Cisco IOS 12.4XV Cisco IOS 12.4XT Cisco IOS 12.4XR Cisco IOS 12.4XQ
|参考资料

来源:XF
名称:ios-scp-priv-escalation(49423)
链接:http://xforce.iss.net/xforce/xfdb/49423
来源:VUPEN
名称:ADV-2009-0851
链接:http://www.vupen.com/english/advisories/2009/0851
来源:BID
名称:34247
链接:http://www.securityfocus.com/bid/34247
来源:CISCO
名称:20090325CiscoIOSSoftwareSecureCopyPrivilegeEscalationVulnerability
链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080a904c8.shtml
来源:www.cisco.com
链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080a90469.shtml
来源:SECTRACK
名称:1021899
链接:http://securitytracker.com/id?1021899
来源:SECUNIA
名称:34438
链接:http://secunia.com/advisories/34438