VULHUB ™

Cisco PIX 500系列安全设备，Cisco ASA 5500系列安全设备及Cisco Catalyst 6500 交换机和Cisco 7600路由器的FWSM防火墙服务模块提供状态数据包过滤和深层的包分析功能，PIX和ASA设备还提供VPN，内容过滤及入侵检测功能。 这些设备不正确处理部分配置错误存在验证绕过问题，可导致攻击者修改密码为随机值。 在这些设备中，EXEC模式和enable模式的验证执行可AAA方法（如远程验证拨入用户服务[RADIUS]，中断访问控制访问增加系统[TACACS+], 或LOCAL），如果设备不配置使用任何AAA方法，将使用passwd命令方式来执行EXEC模式的验证，而使用enable password来对enable模式进行验证。 在部分版本的软件下存在一个缺陷，在部分条件下可使用EXEC password，使本地定义用户的密码和存储在启动配置中的enable密码无用户交互下的情况下被更改。 使用如下配置命令的设置会受影响： * passwd - 配置EXEC密码: pix(config)# passwd xxxxxxxxx * username - 配置本地用户和想关联密码: pix(config)# username admin password xxxxxxxx * enable password - 配置进入enable密码 pix(config)# enable password xxxxxxxx 软件错误仅在如下场景中出现： - 软件崩溃，一般由软件缺陷引起，不过不是所有软件崩溃会造成如上的影响。 - 两个或者更多用户在设备中同时进行配置更改，无论使用(命令行接口[CLI], Adaptive Security Device Manager [ASDM], 防火墙管理中心等)方法用于访问设备。 一旦启动配置中的密码被更改，如果EXEC和enable模式使用存储在启动配置中的密码或者本地帐户进行验证，那么下此设备重启后会导致管理员不能进入。如果使用了AAA服务器进行验证，启动配置中的密码更改之会导致AAA服务器不可用时出现不可预期的结果。 Cisco PIX/ASA 7.0.4 .3 Cisco PIX/ASA 7.0.4 Cisco PIX/ASA 7.0.1 .4 Cisco PIX/ASA 7.0...

Cisco PIX 500系列安全设备，Cisco ASA 5500系列安全设备及Cisco Catalyst 6500 交换机和Cisco 7600路由器的FWSM防火墙服务模块提供状态数据包过滤和深层的包分析功能，PIX和ASA设备还提供VPN，内容过滤及入侵检测功能。 这些设备不正确处理部分配置错误存在验证绕过问题，可导致攻击者修改密码为随机值。 在这些设备中，EXEC模式和enable模式的验证执行可AAA方法（如远程验证拨入用户服务[RADIUS]，中断访问控制访问增加系统[TACACS+], 或LOCAL），如果设备不配置使用任何AAA方法，将使用passwd命令方式来执行EXEC模式的验证，而使用enable password来对enable模式进行验证。 在部分版本的软件下存在一个缺陷，在部分条件下可使用EXEC password，使本地定义用户的密码和存储在启动配置中的enable密码无用户交互下的情况下被更改。 使用如下配置命令的设置会受影响： * passwd - 配置EXEC密码: pix(config)# passwd xxxxxxxxx * username - 配置本地用户和想关联密码: pix(config)# username admin password xxxxxxxx * enable password - 配置进入enable密码 pix(config)# enable password xxxxxxxx 软件错误仅在如下场景中出现： - 软件崩溃，一般由软件缺陷引起，不过不是所有软件崩溃会造成如上的影响。 - 两个或者更多用户在设备中同时进行配置更改，无论使用(命令行接口[CLI], Adaptive Security Device Manager [ASDM], 防火墙管理中心等)方法用于访问设备。 一旦启动配置中的密码被更改，如果EXEC和enable模式使用存储在启动配置中的密码或者本地帐户进行验证，那么下此设备重启后会导致管理员不能进入。如果使用了AAA服务器进行验证，启动配置中的密码更改之会导致AAA服务器不可用时出现不可预期的结果。 Cisco PIX/ASA 7.0.4 .3 Cisco PIX/ASA 7.0.4 Cisco PIX/ASA 7.0.1 .4 Cisco PIX/ASA 7.0 Cisco PIX/ASA 7.0(5) Cisco PIX 500 Series Security Appliance 7.1 Cisco PIX 500 Series Security Appliance 7.0 Cisco FWSM for Cisco Catalyst 6500/7600 Series 3.1 Cisco FWSM 3.1(1.7) Cisco FWSM 3.1 Cisco ASA 5500 Series Adaptive Security Appliance 7.1 Cisco ASA 5500 Series Adaptive Security Appliance 7.0 针对PIX/ASA 7.0.X版本，第一个修补发行是7.0(5.1)，, PIX的最新7.0.x发行可从如下地址下载: <a href="http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2" target="_blank">http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2</a> ( 仅注册用户可访问) ASA最新7.0.x发现可从如下地址获得: <a href="http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2" target="_blank">http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2</a> (仅注册用户可访问) 针对PIX/ASA 7.1.x 软件, 第一个修补发行是7.0(5.1). 最新的7.1.x interim PIX可从如下地址获得: <a href="http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2" target="_blank">http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2</a> ( 仅注册用户可访问) 最新的7.1.x interim ASA可从如下地址下载: <a href="http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2" target="_blank">http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2</a> (仅注册用户可访问) 最开始的修补发行FWSM是3.1(2). 最新的FWSM 3.1发行可从如下地址: <a href="http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2" target="_blank">http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2</a> ( registered customers only)