From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 30-ene-2006 7:06
Subject: Oxygen3 24h-365d [Vulnerabilidad en Cisco IOS - 30-01-06]
To: OXYGEN3ES@oxygen3.pandasoftware.com
"La habilidad y la constancia son las armas de la debilidad".
Maquiavelo, Nicolás (1469 - 1527); político y escritor latino.
Maquiavelo, Nicolás (1469 - 1527); político y escritor latino.
- Vulnerabilidad en Cisco IOS - Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es/)
Madrid, 30 de enero de 2006 - Cisco ha anunciado la existencia de un problema de seguridad en Cisco IOS -sistema operativo de algunas de las más potentes redes del mundo-, que puede permitir a atacantes elevar sus privilegios. Además, la compañía ha proporcionado las actualizaciones de Cisco IOS en las que se halla resuelto.
Cisco ha publicado un boletín en el que informa de que la vulnerabilidad reside en la característica de autorización del comando AAA (Authentication, Authorization, and Accounting). En concreto, no se realizan las comprobaciones de autorización del comando cuando se ejecuta desde Tool Command Language (Tcl). Esto posibilita que, bajo determinadas configuraciones, usuarios autenticados eviten las comprobaciones de autorización, lo que permitirá realizar una escalada de privilegios.
No se ven afectados por el mencionado problema de seguridad los dispositivos que no ejecuten la característica AAA, o no soporten la funcionalidad Tcl.
La vulnerabilidad ya ha sido resuelta en las actualizaciones que Cisco ha ofrecido de Cisco IOS, y cuya instalación se recomienda a los usuarios de los equipos afectados. Información adicional en el aviso publicado por Cisco en:
http://www.cisco.com/warp/public/707/cisco-response-20060125-aaatcl.shtml
No hay comentarios.:
Publicar un comentario
Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.