int(2651)

Vulnerability Bulletins

Modificación no intencional de contraseñas de usuario en Cisco PIX, ASA y FWSM

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer Networking
Affected software Cisco PIX 500 Series Security Appliances 7.0(x) <= 7.0(5), 7.1(x) <= 7.1(2.4)
Cisco ASA 5500 Series Adaptive Security Appliances (ASA) 7.0(x) <= 7.0(5), 7.1(x) <= 7.1(2.4)
Firewall Services Module (FWSM) 3.1(x) <= 3.1(1.6)

Description
Se ha descubierto una vulnerabilidad en varias versiones de Cisco PIX 500 Series Security Appliances, Cisco ASA 5500 Series Adaptive Security Appliances (ASA), y Firewall Services Module (FWSM). La vulnerabilidad reside en que existe un error del software que podría hacer que la contraseña EXEC, contraseñas de usuarios locales y la contraseña de "enable" puedan ser cambiadas en la configuración de inicio sin la intervención del usuario.

Un atacante local podría obtener acceso a un dispositivo que haya sido reiniciado después de los cambios de contraseñas en la configuración de inicio. Además, los usuario legítimos del sistema no podrían acceder al dispositivo.

Solution


Actualización de software

Cisco
Cisco PIX 7.0.x / 7.0(5.1)
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
Cisco ASA 7.0.x / 7.0(5.1)
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2
Cisco PIX 7.1.x interim / 7.1(2.5)
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2
Cisco ASA 7.1.x interim / 7.1(2.5)
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2
Cisco FWSM 3.1.x / 3.1(2)
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2

Standar resources
Property Value
CVE
BID

Other resources
Cisco Security Advisory (70811)
http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml

Version history
Version Comments Date
1.0 Aviso emitido 2006-08-28
Ministerio de Defensa
CNI
CCN
CCN-CERT