首页 / MYSQL / CiscouBR10012路由器默认SNMP团体字符串漏洞

CiscouBR10012路由器默认SNMP团体字符串漏洞

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了CiscouBR10012路由器默认SNMP团体字符串漏洞，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2845字，纯文字阅读大概需要5分钟。

内容图文

发布日期：2008-09-24
更新日期：2008-09-26

受影响系统：
Cisco IOS 12.3
Cisco IOS 12.2
Cisco uBR10012
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 31355
CVE(CAN) ID: CVE-2008-3807

Cisco uBR10012是一款大型的高端宽带路由器。

如果配置了线卡冗余的话，Cisco uBR10012系列设备需要与RF交换机通讯，这种通讯是基于SNMP的。如果Cisco uBR10012系列设备上启用了线卡冗余，还会以拥有读写权限的默认团体字符串private自动启用SNMP。由于对这个团体字符串没有访问限制，攻击者可以利用这个团体字符串完全控制设备。

<*来源：Cisco安全公告

链接：http://secunia.com/advisories/31990/
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

* 更改SNMP团体字符串并限制访问。

以下配置示例为操作人员提供有关更改团体字符串并使用ACL添加SNMP访问控制限制的信息。

access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any

redundancy
linecard-group 1 cable
rf-switch snmp-community

snmp-server community rw 90

在Cisco uBR10012设备上更改SNMP团体时，还必须在RF交换机上通过以下命令更改：

set SNMP COMMUNITY

如果Cisco IOS版本不支持更改团体字符串，可对默认的团体字符串应用访问控制限制。以下配置示例为操作人员提供有关对默认团体字符串应用访问控制限制的信息。

access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any

snmp-server community private rw 90

* 在网络边界使用基础架构ACL（iACL）

!-- Permit SNMP (UDP port 161) packets from trusted hosts
!-- destined to infrastructure addresses.

!
access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Deny SNMP (UDP port 161) packets from all other sources
!-- destined to infrastructure addresses.

!
access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Permit/deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and
!-- configurations.

!

!-- Permit all other traffic to transit the device.

!
access-list 150 permit ip any any
!

!-- Apply iACL to interfaces in the ingress direction.

!
interface GigabitEthernet0/0
ip access-group 150 in
!

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080924-ubr）以及相应补丁:
cisco-sa-20080924-ubr：Cisco uBR10012 Series Devices SNMP Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml

内容总结

以上是互联网集市为您收集整理的CiscouBR10012路由器默认SNMP团体字符串漏洞全部内容，希望文章能够帮你解决CiscouBR10012路由器默认SNMP团体字符串漏洞所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/534747.html

来源：【匿名】

【上一篇】如何维护数据库中的静态表【下一篇】用IE远程创建Mysql数据库的简易程序

更多 ►

【CiscouBR10012路由器默认SNMP团体字符串漏洞】教程文章相关的互联网学习教程文章

cisco动态访问控制列表的应用

动态访问表是一种新型的访问表。事实上确实如此，但是动态访问表的语法与传统访问表项的格式非常相似，这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示： access-list access-list mumber dynamic name [timeout n][permit|deny]动态访问表是一种新型的访问表。事实上确实如此，但是动态访问表的语法与传统访问表项的格式非常相似，这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示：acces...

解析Cisco交换机配置Vlan

* vlan 配置思路（access 、Trunk）（1）创建Vlan 在基于IOS的交换机上配置静态VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vlan-name switch(vlan)# exit switch# configure teriminal switch(config)# interface interface modu　* vlan 配置思路（access 、Trunk）（1）创建Vlan在基于IOS的交换机上配置静态VLAN:switch# vlan databaseswitch(vlan)# vlan vlan-num name vlan-nameswitch(vlan)# exi...

Oracle收购XsigoVMware、Cisco竞争加剧【图】

【CSDN编译报导】Oracle本周一宣布收购了Xsigo，但并未透露收购金额。上周，VMware抢在Cisco之前将Nicira收入麾下，SDN的争夺战进入了高潮。 Xsigo提供被称之为DCF的产品，DCF专为虚拟化网络设计，可将物理网卡和网线尽可能减少。在传统的数据中心，一台物理【CSDN编译报导】Oracle本周一宣布收购了Xsigo，但并未透露收购金额。上周，VMware抢在Cisco之前将Nicira收入麾下，SDN的争夺战进入了高潮。Xsigo提供被称之为DCF的产品，DC...

Cisco访问控制列表详解（ACL）

Cisco 访问控制列表详解（ACL）2007-01-20 23:51CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端Cisco访问控制列表详解（ACL）2007-01-20 23:51CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标...

CiscoACl标准的访问控制列表的配置

前提(先进入全局配置模式下) access?list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号 ip access?group 11 in/out 前提(先进入接口配置模式下) in为进方向out为出　　前提(先进入全局配置模式下)access?list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号...

深入解析Cisco交换机配置Vlan

* vlan 配置思路（access 、Trunk）（1）创建Vlan 在基于IOS的交换机上配置静态VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vlan-name switch(vlan)# exit switch# configure teriminal switch(config)# interface interface module/nu* vlan 配置思路（access 、Trunk）（1）创建Vlan 在基于IOS的交换机上配置静态VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vlan-name switch(vlan)# ...

Cisco3550实现MAC和交换机端口绑定

利用交换机的Port-Security功能实现以下是一个配置实例： switch＃c onfig t switch（config）#int f0/1 switch（config-if）#switchport mode access //设置交换机的端口模式为access模式，注意缺省是dynamic //dynamic模式下是不能使用Port-security功能利用交换机的Port-Security功能实现以下是一个配置实例：switch＃c onfig tswitch（config）#int f0/1switch（config-if）#switchport mode access//设置交换机的端口模式为a...

Cisco中的ARP命令介绍及防范技巧【图】

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入最近一段时间，arp欺骗病毒十分猖獗，经常造成局域网内主机断网。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入　　最近一段时间，arp欺骗病毒十分猖獗，经常造成局域网内主机断网。从影响网络连接通畅的方式来看，ARP欺骗分...

Cisco&nbsp;访问控制列表允许部分人上网

route#config t Enter configuration commands, one per line. End with CNTL/Z. route(config)#int fa0/1 route(config-if)#ip access-group 112 in 然后，在这个组里面，写入允许上网的主机地址（配置要在全局下配置）。最后加一条，不符合以上条件者，　　route#config tEnter configuration commands, one per line. End with CNTL/Z.route(config)#int fa0/1route(config-if)#ip access-group 112 in然后，在这个组里面，...

Cisco2600的访问列表的配置

我在配置了这样一个访问列表， access-list 102 deny tcp any lt 1024 any access-list 102 permit tcp any any 但是却不能ping对方网段，我想把1024以下的端口全部封了，但能ping通对方，该如何配置用的是静态路由配置文件如下(部分） Current configuration我在配置了这样一个访问列表，access-list 102 deny tcp any lt 1024 anyaccess-list 102 permit tcp any any但是却不能ping对方网段，我想把1024以下的端口全部封了，但能...

CISCO防御冲击波方法

! --- block TFTP access-list 115 deny udp any any eq 69 ! --- block W32.Blaster related protocols access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 ! --- block other vulnerable MS protocols access-list 115 deny! --- block TFTPaccess-list 115 deny udp any any eq 69! --- block W32.Blaster related protocolsaccess-list 115 deny tcp any any eq 135access-list 115 deny udp a...

cisco路由器IP流量的获取

用cisco路由器作网际路由器时，一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令，cisco路由器会自动统计这些端口的IP流量。常用snmp或telnet终端仿真（show ip account）方法，获取IP流量用cisco路由器作网际路由器时，一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令，cisco路由器会自动统...

CISCO路由器基于时间的访问列表的应用

CISCO 路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。随着网络的发展和用户要求的变CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地...

SQL病毒CISCO完全解决方案

访问列表防御 1.创建访问列表 access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 2.匹配访问列表和数据包长度 class-map match-all slammer_worm match access-group 101 match packet length min 404 max 404 3.丢弃所匹配的数据访问列表防御1.创建访问列表access-list 101 deny udp any any eq 1434access-list 101 permit ip any any2.匹配访问列表和数据包长度class-map match-all slammer_wormmat...

Cisco访问控制列表允许部分人上网

route#config t Enter configuration commands, one per line. End with CNTL/Z. route(config)#int fa0/1 route(config-if)#ip access-group 112 in 然后，在这个组里面，写入允许上网的主机地址(配置要在全局下配置)。最后加一条，不符合以上条件者，全　　route#config tEnter configuration commands, one per line. End with CNTL/Z.route(config)#int fa0/1route(config-if)#ip access-group 112 in然后，在这个组里面，写...

首页 / MYSQL / CiscouBR10012路由器默认SNMP团体字符串漏洞

CiscouBR10012路由器默认SNMP团体字符串漏洞

内容导读

内容图文

内容总结

内容备注

内容手机端

【CiscouBR10012路由器默认SNMP团体字符串漏洞】教程文章相关的互联网学习教程文章

cisco动态访问控制列表的应用

解析Cisco交换机配置Vlan

Oracle收购XsigoVMware、Cisco竞争加剧【图】

Cisco访问控制列表详解（ACL）

CiscoACl标准的访问控制列表的配置

深入解析Cisco交换机配置Vlan

Cisco3550实现MAC和交换机端口绑定

Cisco中的ARP命令介绍及防范技巧【图】

Cisco&nbsp;访问控制列表允许部分人上网

Cisco2600的访问列表的配置

CISCO防御冲击波方法

cisco路由器IP流量的获取

CISCO路由器基于时间的访问列表的应用

SQL病毒CISCO完全解决方案

Cisco访问控制列表允许部分人上网

字符串 - 相关标签

漏洞 - 相关标签

MYSQL - 技术教程分类

MYSQL - 最新教程

MYSQL - 最热教程