安全研究

安全漏洞
Cisco ACNS验证库远程缓冲区溢出漏洞

发布日期:2003-12-10
更新日期:2003-12-16

受影响系统:
Cisco Content Distribution Manager 4670
Cisco Content Distribution Manager 4650 4.1
Cisco Content Distribution Manager 4650 4.0
Cisco Content Distribution Manager 4650
Cisco Content Distribution Manager 4630 4.1
Cisco Content Distribution Manager 4630 4.0
Cisco Content Distribution Manager 4630
Cisco Content Engine 7320 4.1
Cisco Content Engine 7320 4.0
Cisco Content Engine 7320 3.1
Cisco Content Engine 7320 2.2.0
Cisco Content Engine 7320
Cisco Content Engine 590 4.1
Cisco Content Engine 590 4.0
Cisco Content Engine 590 3.1
Cisco Content Engine 590 2.2.0
Cisco Content Engine 590
Cisco Content Engine 560 4.1
Cisco Content Engine 560 4.0
Cisco Content Engine 560 3.1
Cisco Content Engine 560 2.2.0
Cisco Content Engine 560
Cisco Content Engine 507 4.1
Cisco Content Engine 507 4.0
Cisco Content Engine 507 3.1
Cisco Content Engine 507 2.2.0
Cisco Content Engine 507
Cisco Content Router 4450
Cisco Content Router 4430 4.1
Cisco Content Router 4430 4.0
Cisco Content Router 4430
Cisco Application & Content Networking Software 5.0.3
Cisco Application & Content Networking Software 5.0.1
Cisco Application & Content Networking Software 5.0
Cisco Application & Content Networking Software 4.2.9
Cisco Application & Content Networking Software 4.2.7
Cisco Application & Content Networking Software 4.2
Cisco Application & Content Networking Software 4.1.3
Cisco Application & Content Networking Software 4.1.1
Cisco Application & Content Networking Software 4.0.3
不受影响系统:
Cisco Application & Content Networking Software 5.1
Cisco Application & Content Networking Software 5.0.5
Cisco Application & Content Networking Software 4.2.11
描述:
BUGTRAQ  ID: 9187
CVE(CAN) ID: CVE-2003-0982

Cisco ACNS为新一代思科企业内容供应网络解决方案。

Cisco ACNS的验证库存在缓冲区溢出问题,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以进程权限执行任意指令或进行拒绝服务攻击。

通过可以提交超长的密码,在ACNS验证模块上触发缓冲区溢出,精心构建提交数据可能以进程权限在系统上执行任意指令。当然此问题也可以造成设备拒绝服务。

<*来源:Cisco安全公告
  
  链接:http://www.cisco.com/warp/public/707/cisco-sa-20031210-ACNS-auth.shtml
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用如下命令关闭CE GUI服务来暂时修补此问题:

no gui-server enable

厂商补丁:

Cisco
-----
Cisco ACNS 4.2.11和5.0.5已经修补此问题,5.1 Release也不存在此漏洞,建议用户通过Cisco software Center获得升级程序:

http://www.cisco.com/

要访问此下载URL,你必须是注册用户和必须登录后才能使用。

事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。

直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法:

     * +1 800 553 2447 (北美地区免话费)
     * +1 408 526 7209 (全球收费)
     * e-mail: tac@cisco.com
    
查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息,包括特别局部的电话号码,各种语言的指南和EMAIL地址。

浏览次数:2718
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障