Cisco IOS ソフトウェア Secure Copy の権限昇格脆弱性 - Cisco Systems
high Nessus プラグイン ID 49032
Language:
概要
リモート装置に、ベンダーが提供したセキュリティパッチがありません。説明
Cisco IOS ソフトウェアの Secure Copy(SCP)のサーバー側実装に脆弱性が含まれています。これにより、コマンドラインインターフェイス(CL)ビューに認証されたユーザーが、CLI ビュー構成のユーザー権限とは無関係に、SCP サーバーとして構成された Cisco IOS デバイスとファイルを送受信できることがあります。この脆弱性により、有効なユーザーが、自身に関連付けられている CLI ビューで許可されていない場合でも、装置のファイルシステムから任意のファイルを取得することや、ファイルシステムにファイルを書き込むことができる場合があります。これらのファイルには、装置に保存されている構成ファイルや Cisco IOS イメージファイルが含まれます。この構成ファイルには、パスワードやその他の慎重な扱いが必要な情報が含まれることがあります。Cisco IOS SCP サーバーはオプションのサービスであり、デフォルトでは無効です。CLI ビューは、Cisco IOS のロールベースの CLI アクセス機能(デフォルトでは無効)の基礎コンポーネントです。
Cisco IOS SCP サーバーを有効にするように明確には構成されていない装置や、SCP サーバーを使用するように構成されているがロールベースの CLI アクセスを使用しない装置は、この脆弱性の影響を受けません。
この脆弱性は、Cisco IOS SCP クライアントの機能には当てはまりません。
Cisco は、この脆弱性に対処する無料のソフトウェア更新をリリースしました。
SCP サーバーまたは CLI ビューの機能を管理者が必要としていない場合は、これらを無効にしてください。これ以外には、この脆弱性に利用できる回避策はありません。
ソリューション
Cisco セキュリティアドバイザリ cisco-sa-20090325-scpで言及されている関連パッチを適用してください。参考資料
プラグインの詳細
深刻度: High
ID: 49032
ファイル名: cisco-sa-20090325-scphttp.nasl
バージョン: 1.25
タイプ: combined
ファミリー: CISCO
公開日: 2010/9/1
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
CVSS スコアの根本的理由: This score is based on cisco's own advisory (cisco-sa-20090325-scp)
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2009-0637
脆弱性情報
CPE: cpe:/o:cisco:ios
必要な KB アイテム: Host/Cisco/IOS/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2009/3/25
脆弱性公開日: 2009/3/25
参照情報
CVE: CVE-2009-0637
BID: 34247
CISCO-SA: cisco-sa-20090325-scp
CISCO-BUG-ID: CSCsv38166