发布日期:2012-03-28
更新日期:2012-03-29
受影响系统:
Cisco IOS 15.x
Cisco IOS XE 3.x
不受影响系统:
Cisco IOS 15.1 SG
Cisco IOS 15.0SA
Cisco IOS XE 3.6.0S
Cisco IOS XE 3.2.xSG
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52755
CVE ID: CVE-2012-0384
Cisco的网际操作系统(IOS)是一个为网际互连优化的复杂操作系统。
Cisco IOS软件使用AAA授权时在远程应用或设备权限级别的实现上存在安全漏洞,可允许远程未验证攻击者绕过命令授权,允许远程已验证的HTTP或HTTPS会话执行其授权级别上配置的所有Cisco IOS命令。此漏洞需要在设备上启用HTTP或HTTPS服务器。成功利用需要有效的用户名和密码。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20120328-pai)以及相应补丁:
cisco-sa-20120328-pai:Cisco IOS Software Command Authorization Bypass