Vulnerability Bulletins |
Vulnerabilidad en NetScreen-Security Manager 2004 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | NetScreen-Security Manager 2004 |
Description |
|
|
Se ha descubierto una vulnerabilidad en la configuración por defecto del Sistema de manejo centralizado "NetScreen-Security Manager 2004". La explotación de esta vulnerabilidad permitiría que un atacante remoto intercepte las comunicaciones por la red de esta herramienta , y así obtener datos de configuración (reglas de filtrado) del firewall NetScreen Contexto Técnico "NetScreen-Security Manager 2004" es una solución para el manejo centralizado de equipos ejecutando ScreenOS 5.0. Esta herramienta consta de dos partes principales: - Un management server ("dispositivo servidor") utilizado para administrar la configuración de los equipos remotos, logs y alertas, trabaja en conjunto con servidor de manejo de las sesiones gráficas de los usuarios ("GUI Server") - Una interface gráfica remota Información Técnica La vulnerabilidad es producida por la protección por defecto de las comunicaciónes (texto plano), entre la herramienta "NetScreen-Security Manager 2004" (especialmente el modulo "Device Server") y los dispositivos administrados. Esta situación permite que un atacante intercepte las comunicaciones y obtenga datos confidenciales de los sistemas administrados. |
|
Solution |
|
|
Para solucionar este problema NetScreen recomienda actualizar el software y en caso de no ser posible activar la encriptación 128-bit AES entre "NetScreen-Security Manager 2004" y los dispositivos ejecutando ScreenOS 5.0 Actualización de Software NetScreen "NetScreen-Security Manager 2004 Feature Pack 1" http://www.netscreen.com/support/updates.html Activación de encriptación script addCryptoParam.sh http://www.netscreen.com/cso |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
NetScreen Security Advisory 58290 http://www.netscreen.com/services/security/alerts/58290.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-01-26 |