搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐IT-搜狐网站
IT频道 > 通信 > 国际电信

思科公布两严重软件缺陷 黑客可控制网络设备

  CNET科技资讯网1月7日国际报道 思科发布了与Cisco NAC Appliance中2个严重软件缺陷有关的安全公告。

  Cisco NAC Appliance 中包含有2 个缺陷,黑客可以利用它们控制设备或窃取包括密码在内的机密信息。

  NAC Appliance 包含有能够自动地探测、隔离、杀除被感染或可能受到攻击的设备的软件,CleanAccess包含有2个能够协作地运行的应用软件━━Clean Access Manager(CAM)、Clean AccessServer(CAS)。

  CAM、CAS各自包含有“共享的秘密”━━信息片断,当二者结合时系统就会进行认证。旧版软件中存在缺陷。

  据思科的公告称,名为“不可改变的共享秘密”的该缺陷意味着“共享的秘密”不能被正确设定或修改,这也意味着“共享的秘密”在所有受影响的设备中是相同的,这将极大地降低加密效果。

  要利用该缺陷,黑客必须首先建立一个到CAS的连接。思科表示,成功地利用该缺陷可能导致黑客获得CAS的系统管理员级别的控制权,黑客将能够修改CAS的每个部分,其中包括配置和设置。

  受该缺陷影响的版本为CCA 3.6.x-3.6.4.2 和CCA4.0.x-4.0.3.2.已经修正了该缺陷的版本为CCA3.6.4.3 、4.0.4、4.1.0.用户也可以从思科的网站上下载Patch-CSCsg24153.tar.gz升级文件。

  名为“readablesnapshots”的第二个缺陷意味着数据库的手动备份或CAM的“快照”会受到下载攻击。黑客可以猜测文件名,在无需通过认证的情况下下载文件。文件本身没有加密。

  快照中包含有能够对CAS 发动攻击,或能够用来攻击CAM 的敏感信息。快照中包含有以纯文本方式存储的密码。

  受“readable snapshots”缺陷影响的版本包括CCA 3.5.x-3.5.9和3.6.x-3.6.1.1,修正了该缺陷的版本为3.5.10和3.6.2。

  目前,思科还没有发布修正该缺陷的补丁软件,但一个临时性解决方案是,在创建不久后,立即从设备上删除快照文件。

  目前,思科还没发现有利用这两个缺陷的攻击发生。

(责任编辑:Ann)


相关新闻

用户:  匿名  隐藏地址  设为辩论话题

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



精彩推荐

说 吧更多>>

相 关 说 吧

说 吧 排 行

搜狐分类 | 搜狐招商

茶 余 饭 后更多>>