int(1407)

Vulnerability Bulletins

Múltiples vulnerabilidades en Cisco ACNS

Vulnerability classification
Property Value
Confidence level Oficial
Impact Compromiso Root
Dificulty Principiante
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Networking
Affected software Cisco ACNS 4.X releases
Cisco ACNS 5.0 releases
Cisco ACNS 5.1 releases
Cisco ACNS 5.2 releases

Description
Se han descubierto múltiples vulnerabilidades que afectan a los dispositivos de Cisco ejecutando las ramas 4.x, 5.0, 5.1 y 5.2 de ACNS (Cisco Application and Content Networking System). Las vulnerabilidades son descritas a continuación:

- Múltiples vulnerabilidades en el manejo de paquetes IP, conexiones TCP y paquetes dirigidos a RealServer RealSubscriber que podrían permitir a un atacante remoto provocar una situación de denegación de servicio del dispositivo.

- Uso de una contraseña de administración por defecto que es la misma en todas las instalaciones de ACNS. Este error podría permitir a un atacante remoto acceder a cualquier servicio que esté habilitado con la cuenta administrativa si la contraseña no ha sido cambiada manualmente.

Solution


Como solución previa a una actualización:
Desactivar el servicio RealServer RealSubscriber y cambiar la contraseña de administración seguir los siguientes pasos:
http://www.cisco.com/en/US/products/products_security_advisory09186a00803ed8a7.shtml#workarounds

Actualización de software

Cisco
Cisco ACNS 4.X releases
Cisco ACNS 5.0 releases
Cisco ACNS 5.1 releases
Cisco ACNS 5.2 releases
http://www.cisco.com/en/US/products/products_security_advisory09186a00803ed8a7.shtml#software

Standar resources
Property Value
CVE CAN-2005-0597
CAN-2005-0598
CAN-2005-0599
CAN-2005-0600
CAN-2005-0601
BID 12648

Other resources
Cisco Security Advisory Document ID: 64069
http://www.cisco.com/warp/public/707/cisco-sa-20050224-acnsdos.shtml

Version history
Version Comments Date
1.0 Aviso emitido 2005-02-25
1.1 CANs añadidos 2005-03-10
Ministerio de Defensa
CNI
CCN
CCN-CERT