Cisco IOS XE Software Static Credential漏洞(CVE-2018-0150)
Cisco IOS XE Software Static Credential漏洞(CVE-2018-0150)
釋出日期:2018-09-19
更新日期:2018-09-24
受影響系統:
Cisco IOS XE < 16.6.1
描述:
BUGTRAQ ID:ofollow,noindex">103539
CVE(CAN) ID:CVE-2018-0150
Cisco IOS XE Software是一套為其網路裝置開發的作業系統。
Cisco IOS XE Software < 16.5.2、< 16.6.1版本在實現中存在安全漏洞,該漏洞是源於一個未記錄的使用者賬戶,該賬戶具有預設的使用者名稱和密碼並且許可權等級為15。 一個未授權的攻擊者可以利用此帳戶遠端連線到受影響的裝置來利用此漏洞。 成功利用可能允許攻擊者以許可權級別15訪問許可權登入裝置。
<*來源:Cisco
連結:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc
*>
建議:
臨時解決方法:
建議受影響的使用者更新升級來進行防護,除此之外,系統管理員可以使用 no username cisco 命令來移除該預設賬戶;或者登入到裝置上更改此預設賬戶的密碼。
對於Cisco ISRv,管理員可以將舊的packages從datastore中移除並再進行ISRv packages更新來進行防護。
廠商補丁:
Cisco
-----
Cisco已經為此釋出了一個安全公告(cisco-sa-20180328-xesc)以及相應補丁:
cisco-sa-20180328-xesc:Cisco IOS XE Software Static Credential Vulnerability
連結:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc
Linux公社的RSS地址 :https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址:https://www.linuxidc.com/Linux/2018-09/154371.htm