Vulnerability Bulletins |
Múltiples vulnerabilidades en Cisco IOS |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Denegación de Servicio |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Networking |
Affected software | Cisco IOS >= 11.x |
Description |
|
Se han descubierto tres vulnerabilidades en Cisco IOS: 1.-Enumeración de los usuarios locales de Cisco IOS: Es posible enumerar todos los usuarios locales definidos, si el modo de autenticación "aaa new-model" no está configurado. Este fallo afecta a Cisco IOS versiones 11.x y posteriores. 2.-Desbordamiento de búfer en el servidor web de Cisco IOS (CAN-2003-0647): Se ha descubierto una vulnerabilidad en el servidor web de gestión de Cisco IOS, que puede permitir a un atacante remoto tirar el dispositivo, enviando 2GB de peticiones GET al servidor. Este fallo afecta todas las versiones de Cisco IOS excepto la 12.3 y la 12.3T. 3.-Vulnerabilidad en el servicio "echo" UDP Se ha descubierto una vulnerabilidad en el servicio "echo" UDP, que puede permitir a un atacante remoto obtener partes de la memoria del dispositivo, enviando paquetes maliciosos y escuchando las respuestas. Todas las versiones de Cisco IOS están afectadas por este fallo. |
|
Solution |
|
Actualización de software La primera vulnerabilidad está solucionada en las siguientes versiones de Cisco IOS 12.0(24.2)S 12.0(24)S1 12.2(15)ZN 12.2(14.5) 12.2(16)B 12.2(16.1)B 12.2(15.1)S 12.2(14.5)T 12.2(11)JA1 La segunda vulnerabilidad: está solucionada en las siguientes versiones de Cisco IOS 12.0(25.4)S1 12.0(26)S 12.1(22) 12.1(19.3)E 12.1(20)E 12.2(18.2) 12.2(19) 12.2(15)T 12.2(15)T5 12.2(11)JA1 La tercera vulnerabilidad: está solucionada en las siguientes versiones de Cisco IOS 12.0(3.2) 12.0(3.3)S 12.0(3.4)T 12.0(3.6)W5(9.0.5) Descarga de parches Dirígase a la web del fabricante para descargar estas actualizaciones http://www.cisco.com/tacpage/sw-center/ |
|
Standar resources |
|
Property | Value |
CVE | CAN-2003-0647 |
BID | |
Other resources |
|
Cisco security notice 24-7-2003 (1) http://www.cisco.com/warp/public/707/cisco-sn-20030724-ios-enum.shtml Cisco security notice 30-7-2003 (2) http://www.cisco.com/warp/public/707/cisco-sn-20030730-ios-2gb-get.shtml Cisco security notice 31-7-2003 (3) http://www.cisco.com/warp/public/707/cisco-sn-20030731-ios-udp-echo.shtml |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-08-05 |