Cisco IOS XE ソフトウェアの Internet Key Exchange のメモリ漏洩脆弱性(cisco-sa-20130925-ike)
high Nessus プラグイン ID 70317
Language:
概要
リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。説明
Cisco IOS XE ソフトウェアの Internet Key Exchange(IKE)プロトコルの脆弱性により、認証されていないリモートの攻撃者が、デバイスのリロードを発生させるメモリ漏洩を引き起こす可能性があります。この脆弱性は、影響を受けるソフトウェアが無効な形式の IKE パケットを不適切に処理することにより生じています。攻撃者が、IKE バージョン 1(IKEv1)を利用する機能で構成したデバイスへ細工された IKE パケットを送信することにより、この脆弱性を悪用する可能性があります。IKEv1 または IKE バージョン 2(IKEv2)が構成されるときに、IKEv1 は Cisco IOS XE ソフトウェアで自動的に有効にされますが、この脆弱性は無効な形式の IKEv1 パケットを送信する場合のみ発生します。特定の状態で、通常の IKEv1 パケットは、影響を受ける Cisco IOS XE ソフトウェアのリリースにメモリ漏洩を引き起こさせる可能性もあります。この脆弱性の影響を受けるのは IKEv1 のみです。問題を悪用することにより、Cisco IOS XE ソフトウェアが割り当てられたメモリをリリースせず、メモリ漏洩を引き起こす可能性があります。持続された攻撃によりデバイスのリロードが発生する可能性があります。Cisco は、この脆弱性に対処する無料のソフトウェア更新をリリースしました。この脆弱性を緩和する回避策はありません。ソリューション
Ciscoセキュリティアドバイザリcisco-sa-20130925-ikeで言及されている関連するパッチを適用してください。参考資料
プラグインの詳細
深刻度: High
ID: 70317
ファイル名: cisco-sa-20130925-ike-iosxe.nasl
バージョン: 1.13
タイプ: local
ファミリー: CISCO
公開日: 2013/10/7
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
脆弱性情報
CPE: cpe:/o:cisco:ios_xe
必要な KB アイテム: Host/Cisco/IOS-XE/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/9/24
脆弱性公開日: 2013/9/25
参照情報
CVE: CVE-2013-5473
BID: 62643
CISCO-SA: cisco-sa-20130925-ike
CISCO-BUG-ID: CSCtx66011