Vulnerability Bulletins |
Vulnerabilidad en la implementación Simple Network Management Protocol versión 3 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de privilegios |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Networking |
Affected software |
Cisco IOS Cisco IOS-XR Cisco Catalyst Operating System (CatOS) Cisco NX-OS Cisco Application Control Engine (ACE) Module Cisco ACE Appliance Cisco ACE XML Gateway Cisco MDS 9000 Series Multilayer Fabric Switches Cisco Wireless LAN Controller (WLC) Cisco Application and Content Networking System (ACNS) Cisco Wide Area Application Services (WAAS) Cisco MGX 8830, 8850 and 8880 Media Gateway and Switch Cisco Internet Streamer CDS |
Description |
|
Se ha encontrado una vulnerabilidad en SNMPv3 en Net-SNMP 5.2.x anterior a 5.2.4.1, 5.3.x anterior a 5.3.2.1, anterior a 5.4.x anterior a 5.4.1.1; UCD-SNMP; eCos; Juniper Session y Resource Control (SRC) C-series 1.0.0 a 2.0.0; NetApp Data ONTAP 7.3RC1 y 7.3RC2; SNMP Research anterior a 16.2; Cisco IOS, CatOS, ACE, y Nexus; Ingate Firewall 3.1.0 y posterior y SIParator 3.1.0 y posterior; HP OpenView SNMP Emanate Master Agent 15.x; y posiblemente otros productos. La vulnerabilidad reside en un error cuando el cliente especifica la longitud del HMAC (código de autenticación basado en Hash). Un atacante reomoto podría saltarse la autenticación SNMP aprovechándose de esta situación, indicando un valor de longitud 1 para que sólo se chequee el primer byte. |
|
Solution |
|
Actualización de software Cisco Ver tabla de actualizaciones en: http://www.cisco.com/warp/public/707/cisco-sa-20080610-snmpv3.shtml |
|
Standar resources |
|
Property | Value |
CVE | CVE-2008-0960 |
BID | 29623 |
Other resources |
|
Cisco Security Advisory (cisco-sa-20080610-snmpv3) http://www.cisco.com/warp/public/707/cisco-sa-20080610-snmpv3.shtml |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2010-08-20 |