漏洞信息详情

Cisco多个防火墙设备认证绕过漏洞

• CNNVD编号：CNNVD-200608-399
• 危害等级： 低危
  
• CVE编号： CVE-2006-4312
• 漏洞类型： 设计错误
• 发布时间： 2006-08-23
• 威胁类型： 本地
• 更新时间： 2006-08-26
• 厂        商： cisco
• 漏洞来源： Terje Bless

漏洞简介

Cisco PIX、ASA和FWSM都是非常流行的防火墙设备，提供能够进行状态报文过滤和深层报文检查的防火墙服务。

上述设备所使用的某些软件版本中可能存在bug，在某些环境中会导致未经用户干预便更改了EXEC命令、本地定义用户的口令，以及启动配置中所存储的enable口令。

仅有两种情况可以触发这个软件bug：

* 软件崩溃，通常是由软件bug所导致的。请注意不是所有的软件崩溃都会导致上述的不良结果。

* 两个或多个用户在同一设备上同时进行配置更改。无论使用何种方法访问设备(命令行接口[CLI]，自适应安全设备管理器[ASDM]，防火墙管理中心等)，都会触发漏洞。

请注意在通过write memory或copy running-config startup-config命令向存储启动配置的稳定媒介中保存配置时，就会更改启动配置中的口令。在正常的操作中，如果没有保存所运行的配置，就不会更改启动配置中的口令。

一旦更改了启动配置中的口令，如果EXEC和enable权限的认证依赖于口令或存储在启动配置中的本地帐号的话，则在下一次设备重载后就会将管理员锁定。如果使用AAA服务器(RADIUS或TACACS+)进行认证的话，则无论是否将LOCAL认证配置为回退(fallback)，仅在AAA服务器不可用时更改启动配置中的口令才会导致上述不良结果。

这个软件漏洞可能导致未经用户干预便更改了EXEC口令、本地定义用户的口令和启动配置中的enable口令。如果将认证配置为使用启动配置中所存储的口令的话，这会导致管理员无法登录到设备。

如果恶意用户能够猜测到新口令的话，且重启了设备，无论是由于软件崩溃所导致的自动重启还是网络管理员的手动重启，都可以非授权访问设备。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.sHTML

参考网址

来源: CISCO

名称: 20060823 Unintentional Password Modification Vulnerability in Cisco Firewall Products

链接:http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.sHTML

来源: XF

名称: cisco-pix-password-modification(28540)

链接:http://xforce.iss.net/xforce/xfdb/28540

来源: BID

名称: 19681

链接:http://www.securityfocus.com/bid/19681

来源: OSVDB

名称: 28143

链接:http://www.osvdb.org/28143

来源: VUPEN

名称: ADV-2006-3367

链接:http://www.frsirt.com/english/advisories/2006/3367

来源: SECTRACK

名称: 1016740

链接:http://securitytracker.com/id?1016740

来源: SECTRACK

名称: 1016739

链接:http://securitytracker.com/id?1016739

来源: SECTRACK

名称: 1016738

链接:http://securitytracker.com/id?1016738

来源: SECUNIA

名称: 21616

链接:http://secunia.com/advisories/21616

受影响实体

• Cisco Pix_firewall:6.3  
• Cisco Pix_firewall_501  
• Cisco Pix_firewall_506  
• Cisco Pix_firewall_515  
• Cisco Pix_firewall_515e  

补丁

暂无