Boletines de Vulnerabilidades |
Vulnerabilidad en la implementación Simple Network Management Protocol versión 3 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Networking |
Software afectado |
Cisco IOS Cisco IOS-XR Cisco Catalyst Operating System (CatOS) Cisco NX-OS Cisco Application Control Engine (ACE) Module Cisco ACE Appliance Cisco ACE XML Gateway Cisco MDS 9000 Series Multilayer Fabric Switches Cisco Wireless LAN Controller (WLC) Cisco Application and Content Networking System (ACNS) Cisco Wide Area Application Services (WAAS) Cisco MGX 8830, 8850 and 8880 Media Gateway and Switch Cisco Internet Streamer CDS |
Descripción |
|
Se ha encontrado una vulnerabilidad en SNMPv3 en Net-SNMP 5.2.x anterior a 5.2.4.1, 5.3.x anterior a 5.3.2.1, anterior a 5.4.x anterior a 5.4.1.1; UCD-SNMP; eCos; Juniper Session y Resource Control (SRC) C-series 1.0.0 a 2.0.0; NetApp Data ONTAP 7.3RC1 y 7.3RC2; SNMP Research anterior a 16.2; Cisco IOS, CatOS, ACE, y Nexus; Ingate Firewall 3.1.0 y posterior y SIParator 3.1.0 y posterior; HP OpenView SNMP Emanate Master Agent 15.x; y posiblemente otros productos. La vulnerabilidad reside en un error cuando el cliente especifica la longitud del HMAC (código de autenticación basado en Hash). Un atacante reomoto podría saltarse la autenticación SNMP aprovechándose de esta situación, indicando un valor de longitud 1 para que sólo se chequee el primer byte. |
|
Solución |
|
Actualización de software Cisco Ver tabla de actualizaciones en: http://www.cisco.com/warp/public/707/cisco-sa-20080610-snmpv3.shtml |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2008-0960 |
BID | 29623 |
Recursos adicionales |
|
Cisco Security Advisory (cisco-sa-20080610-snmpv3) http://www.cisco.com/warp/public/707/cisco-sa-20080610-snmpv3.shtml |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2010-08-20 |