Cisco Secure ACS NOVELL目录服务验证绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201354 漏洞类型 未知
发布时间 2004-08-25 更新时间 2005-10-20
CVE编号 CVE-2004-1458 CNNVD-ID CNNVD-200412-272
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-272
|漏洞详情
CiscoSecureAccessControlServer和CiscoSecureAccessControlServerSolutionEngine提供验证,授权和帐户服务的网络设备,一般称为AAA服务器。CiscoACS和ACSSolutionEngine服务在验证NOVELL目录服务时存在问题,远程攻击者可以利用这个漏洞使用空密码通过验证进行服务访问。*CSCed81716--CiscoSecureACS可以与外部数据库通信并通过这些数据库验证用户。其中ACS支持NOVELL目录服务。如果匿名用户绑定NDS允许,及ACSSolutionEngine使用外部数据库验证NDS用户而不是采用LDAP,然后用户可以使用空密码来通过NDS数据库的验证。不过,错误的密码和不正确的用户名会被验证拒绝。
|参考资料

来源:CISCO
名称:20040825MultipleVulnerabilitiesinCiscoSecureAccessControlServer
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040825-acs.shtml
来源:BID
名称:11047
链接:http://www.securityfocus.com/bid/11047
来源:XF
名称:ciscosecure-csadmin-tcp-dos(17114)
链接:http://xforce.iss.net/xforce/xfdb/17114
来源:CIAC
名称:O-203
链接:http://www.ciac.org/ciac/bulletins/o-203.shtml
来源:SECUNIA
名称:12386
链接:http://secunia.com/advisories/12386/
来源:OSVDB
名称:9182
链接:http://osvdb.org/9182
来源:NSFOCUS
名称:6843※6845※6844※6846
链接:http://www.nsfocus.net/vulndb/6843※6845※6844※6846