Cisco IOS 软件安全复制权限提升漏洞 - Cisco Systems
high Nessus 插件 ID 49032
语言:
简介
远程设备缺少供应商提供的安全修补程序。描述
Cisco IOS 软件中的安全复制 (SCP) 实现的服务器端存在漏洞,根据附带的命令行界面 (CLI) 视图配置,无论通过身份验证的用户是否获得相关的授权,他们都能够使用 CLI 视图将文件传输到配置为 SCP 服务器的 Cisco IOS 设备,或者从该设备传输文件。此漏洞导致有效的用户可以检索或写入设备文件系统中的任何文件,包括设备的保存配置和 Cisco IOS 映像文件,即使属于用户的 CLI 视图不允许执行这类操作。此配置文件可能包括密码或其他敏感信息。Cisco IOS SCP 服务器是可选的服务,默认情况下会将其禁用。CLI 视图是 Cisco IOS 基于角色的 CLI 访问功能的基础组件,默认情况下也会将其禁用。
没有特别配置为启用 Cisco IOS SCP 服务器的设备,或者配置为使用此服务器但是没有使用基于角色的 CLI 访问的设备,都不会受到此漏洞的影响。
此漏洞不会影响 Cisco IOS SCP 客户端功能。
Cisco 已发布解决此漏洞的免费软件更新。
暂无能够解决此漏洞的解决方法。如果管理员不需要 SCP 服务器或 CLI 视图功能,可禁用这些服务。
解决方案
请安装 Cisco 安全公告 cisco-sa-20090325-scp 中提及的相关修补程序。另见
插件详情
严重性: High
ID: 49032
文件名: cisco-sa-20090325-scphttp.nasl
版本: 1.25
类型: combined
系列: CISCO
发布时间: 2010/9/1
最近更新时间: 2018/11/15
支持的传感器: Nessus
风险信息
CVSS 分数理由: This score is based on cisco's own advisory (cisco-sa-20090325-scp)
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2009-0637
漏洞信息
CPE: cpe:/o:cisco:ios
必需的 KB 项: Host/Cisco/IOS/Version
易利用性: No known exploits are available
补丁发布日期: 2009/3/25
漏洞发布日期: 2009/3/25
参考资料信息
CVE: CVE-2009-0637
BID: 34247
CISCO-SA: cisco-sa-20090325-scp
CISCO-BUG-ID: CSCsv38166