Cisco IOS XE 自主网络基础架构多种漏洞 (cisco-sa-20150325-ani)

high Nessus 插件 ID 82585

简介

远程设备缺少供应商提供的安全修补程序。

描述

根据自我报告的版本,远程主机上运行的 Cisco IOS 版本受到以下漏洞的影响:

- 由于无法正确验证自主网络 (AN) 消息,ANI 中存在一个缺陷。这可允许远程攻击者欺骗自主网络注册机构 (ANRA) 响应并获取提升的权限或造成拒绝服务。(CVE-2015-0635)

- 由于未正确处理 AN 消息,ANI 中存在一个缺陷。这可允许远程攻击者使用特别构建的 AN 消息中断自主域服务。(CVE-2015-0636)

- 由于未正确验证 AN 消息,ANI 中存在一个缺陷。这可允许远程攻击者使用特别构建的 An 消息造成设备重新加载。(CVE-2015-0637)

请注意,这些问题仅影响启用了 ANI 的设备。

解决方案

请应用 Cisco 安全公告中引用的相关修补程序。

另见

http://www.nessus.org/u?dabca9f4

https://tools.cisco.com/security/center/viewAlert.x?alertId=37811

https://tools.cisco.com/security/center/viewAlert.x?alertId=37812

https://tools.cisco.com/security/center/viewAlert.x?alertId=37813

插件详情

严重性: High

ID: 82585

文件名: cisco-sa-20150325-ani-iosxe.nasl

版本: 1.13

类型: local

系列: CISCO

发布时间: 2015/4/6

最近更新时间: 2019/11/22

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:C

漏洞信息

CPE: cpe:/o:cisco:ios_xe

必需的 KB 项: Host/Cisco/IOS-XE/Version

易利用性: No known exploits are available

补丁发布日期: 2015/4/3

漏洞发布日期: 2015/3/25

参考资料信息

CVE: CVE-2015-0635, CVE-2015-0636, CVE-2015-0637

BID: 73339, 73341, 73343