Cisco IOS安全拷贝功能权限提升漏洞

CNNVD-ID编号 CNNVD-200903-488
CVE编号 CVE-2009-0637
发布时间 2009-03-27
更新时间 2009-03-30
漏洞类型 权限许可和访问控制
漏洞来源 N/A
危险等级 高危
威胁类型 远程
厂 商 cisco

漏洞介绍

Cisco IOS是美国思科(Cisco)公司为其网络设备开发的操作系统。

安全拷贝(SCP)协议类似于远程拷贝(RCP)协议,允许在系统之间传输文件。Cisco IOS软件中SCP实现的服务器端存在漏洞,可能允许附加了CLI视图的认证用户从配置为SCP服务器的Cisco IOS设备传输文件,无论CLI视图配置授权给哪些用户上述权限。这个漏洞允许有效用户在设备的系统文件上检索或写入任意文件(包括设备保存的配置和Cisco IOS镜像文件),即使附加给用户的CLI视图不允许这些操作。配置文件中可能包含有口令或其他敏感信息。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源