CiscouBR10012路由器默认SNMP团体字符串漏洞
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了CiscouBR10012路由器默认SNMP团体字符串漏洞,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2845字,纯文字阅读大概需要5分钟。
内容图文
![CiscouBR10012路由器默认SNMP团体字符串漏洞](/upload/InfoBanner/zyjiaocheng/535/8887e6c4c61c4d24b4333ed37b250ba3.jpg)
发布日期:2008-09-24 更新日期:2008-09-26 受影响系统: Cisco IOS 12.3 Cisco IOS 12.2 Cisco uBR10012 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 31355 CVE(CAN) ID: CVE-2008-3807 Cisco
发布日期:2008-09-24
更新日期:2008-09-26
受影响系统:
Cisco IOS 12.3
Cisco IOS 12.2
Cisco uBR10012
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 31355
CVE(CAN) ID: CVE-2008-3807
Cisco uBR10012是一款大型的高端宽带路由器。
如果配置了线卡冗余的话,Cisco uBR10012系列设备需要与RF交换机通讯,这种通讯是基于SNMP的。如果Cisco uBR10012系列设备上启用了线卡冗余,还会以拥有读写权限的默认团体字符串private自动启用SNMP。由于对这个团体字符串没有访问限制,攻击者可以利用这个团体字符串完全控制设备。
<*来源:Cisco安全公告
链接:http://secunia.com/advisories/31990/
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 更改SNMP团体字符串并限制访问。
以下配置示例为操作人员提供有关更改团体字符串并使用ACL添加SNMP访问控制限制的信息。
access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any
redundancy
linecard-group 1 cable
rf-switch snmp-community
snmp-server community
在Cisco uBR10012设备上更改SNMP团体时,还必须在RF交换机上通过以下命令更改:
set SNMP COMMUNITY
如果Cisco IOS版本不支持更改团体字符串,可对默认的团体字符串应用访问控制限制。以下配置示例为操作人员提供有关对默认团体字符串应用访问控制限制的信息。
access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any
snmp-server community private rw 90
* 在网络边界使用基础架构ACL(iACL)
!-- Permit SNMP (UDP port 161) packets from trusted hosts
!-- destined to infrastructure addresses.
!
access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
!
!-- Deny SNMP (UDP port 161) packets from all other sources
!-- destined to infrastructure addresses.
!
access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
!
!-- Permit/deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and
!-- configurations.
!
!-- Permit all other traffic to transit the device.
!
access-list 150 permit ip any any
!
!-- Apply iACL to interfaces in the ingress direction.
!
interface GigabitEthernet0/0
ip access-group 150 in
!
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20080924-ubr)以及相应补丁:
cisco-sa-20080924-ubr:Cisco uBR10012 Series Devices SNMP Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
内容总结
以上是互联网集市为您收集整理的CiscouBR10012路由器默认SNMP团体字符串漏洞全部内容,希望文章能够帮你解决CiscouBR10012路由器默认SNMP团体字符串漏洞所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。