[Cisco/CSS] Schwachstelle in Cisco Content Services Switches
(2001-04-05 10:32:46+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00066.htmlEine Schwachstelle in den Cisco Content Services (CSS) Switches erlauben einem nicht-priviligierten User die Erlangung von administrativen Privilegien auf dem Switch.
Betroffene Systeme
- Cisco CSS 11050
- Cisco CSS 11150
- Cisco CSS 11800
Typ der Verwundbarkeit
design flaw: unauthorized permission grant
Beschreibung
Die Cisco Content Services (CSS) Switch Produkte, auch unter dem Namen Arrowpoint bekannt, weisen vor Version 4.01B19 eine Schwachstelle auf, wodurch nicht priviligierte User (mit einem gültigen Account) administrative Privilegien auf den Switches erlangen können.
Durch eine Serie von gezielten Tastendrücken kann ein nicht priviligierter Benutzer den debug Mode aktivieren und darüber administrative Rechte auf dem Switch erlangen. Somit können wichtige Daten wie etwa die Konfigurationsdateien eingesehen und verändert werden.
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Gegenmaßnahmen
Cisco stellt ein Update auf Version 4.01B19 zur Verfügung, in der diese Schwachstelle beseitigt ist:
- http://www.cisco.com/pcgi-bin/tablebuild.pl/webns
Antwort des Cisco Webservers auf diesen URL: 'Software Not Available'; dieser URL wird aber im offiziellen Advisory von Cisco (s. u.) zum Bezug des Updates angegeben. Wir geben ihn daher an dieser Stelle an, in der Hoffnung, daß Cisco dieses Problem löst und das Update alsbald unter diesem URL erhältlich sein wird.
Weitere Information zu diesem Thema
- Cisco Security Advisory: Cisco Content Services Switch User Account Vulnerability
- Configuring User Profiles and CSS Parameters
- Configuring Source Groups, ACLs, EQLs, URQLs, NQLs, and DQLs
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=315