Cisco多个防火墙设备认证绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1193730 漏洞类型 设计错误
发布时间 2006-08-23 更新时间 2006-08-26
CVE编号 CVE-2006-4312 CNNVD-ID CNNVD-200608-399
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200608-399
|漏洞详情
CiscoPIX、ASA和FWSM都是非常流行的防火墙设备,提供能够进行状态报文过滤和深层报文检查的防火墙服务。上述设备所使用的某些软件版本中可能存在bug,在某些环境中会导致未经用户干预便更改了EXEC命令、本地定义用户的口令,以及启动配置中所存储的enable口令。仅有两种情况可以触发这个软件bug:*软件崩溃,通常是由软件bug所导致的。请注意不是所有的软件崩溃都会导致上述的不良结果。*两个或多个用户在同一设备上同时进行配置更改。无论使用何种方法访问设备(命令行接口[CLI],自适应安全设备管理器[ASDM],防火墙管理中心等),都会触发漏洞。请注意在通过writememory或copyrunning-configstartup-config命令向存储启动配置的稳定媒介中保存配置时,就会更改启动配置中的口令。在正常的操作中,如果没有保存所运行的配置,就不会更改启动配置中的口令。一旦更改了启动配置中的口令,如果EXEC和enable权限的认证依赖于口令或存储在启动配置中的本地帐号的话,则在下一次设备重载后就会将管理员锁定。如果使用AAA服务器(RADIUS或TACACS+)进行认证的话,则无论是否将LOCAL认证配置为回退(fallback),仅在AAA服务器不可用时更改启动配置中的口令才会导致上述不良结果。这个软件漏洞可能导致未经用户干预便更改了EXEC口令、本地定义用户的口令和启动配置中的enable口令。如果将认证配置为使用启动配置中所存储的口令的话,这会导致管理员无法登录到设备。如果恶意用户能够猜测到新口令的话,且重启了设备,无论是由于软件崩溃所导致的自动重启还是网络管理员的手动重启,都可以非授权访问设备。
|参考资料

来源:CISCO
名称:20060823UnintentionalPasswordModificationVulnerabilityinCiscoFirewallProducts
链接:http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml
来源:XF
名称:cisco-pix-password-modification(28540)
链接:http://xforce.iss.net/xforce/xfdb/28540
来源:BID
名称:19681
链接:http://www.securityfocus.com/bid/19681
来源:OSVDB
名称:28143
链接:http://www.osvdb.org/28143
来源:VUPEN
名称:ADV-2006-3367
链接:http://www.frsirt.com/english/advisories/2006/3367
来源:SECTRACK
名称:1016740
链接:http://securitytracker.com/id?1016740
来源:SECTRACK
名称:1016739
链接:http://securitytracker.com/id?1016739
来源:SECTRACK
名称:1016738
链接:http://securitytracker.com/id?1016738
来源:SECUNIA
名称:21616
链接:http://secunia.com/advisories/21616