登录  免费注册
当前位置:首页 > 漏洞详细信息

Cisco ONS平台多个安全漏洞

 关注(0)  
CNVD-ID CNVD-2004-0503
公开日期 2004-02-19
危害级别
影响产品 (暂无)
CVE ID CVE-2004-0306
漏洞描述 Cisco ONS是由CISCO公司开发的光纤网络平台。

Cisco ONS存在多个漏洞,可导致未授权访问设备,拒绝服务或锁住帐户仍继续验证等攻击。

Cisco ONS 15327, ONS 15454, ONS 15454 SDH, 和ONS 15600可通过XTC, TCC+/TCC2, TCCi/TCC2, 和TSC控制卡管理,这些控制卡一般与INTERNET隔离并只连接与本地网络环境。存在如下漏洞:

- CSCec17308/CSCec19124(tftp)

TFTP服务默认使用UDP 69端口,允许未进行任何验证进行GET和PUT命令,客户端就可以连接光纤设备,上传及下载任意用户数据。

- CSCec17406(port 1080)

Cisco ONS 15327, ONS 15454和ONS 15454 SDH硬件在TCP 1080端口上存在ACK拒绝服务攻击,TCP 1080端口用于网络管理与控制卡进行通信。通过ACK拒绝服务攻击,可导致光纤设备上的控制卡重设。

- CSCec66884/CSCec71157(SU access)

默认情况下只允许超级用户对VxWorks操作系统进行telnet访问,由于这个漏洞,超级用户帐户如果被禁止,锁住及暂停,使用设置密码仍旧可以登录VxWorks shell。
漏洞类型 通用型漏洞
参考链接
漏洞解决方案 Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20040219-ONS .)以及相应补丁:
cisco-sa-20040219-ONS .:Cisco ONS 15327, ONS 15454, ONS 15454 SDH, and ONS 15600 Vulnerabilities
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040219-ONS.shtml .

针对TFTP问题,可采用如下补丁:

15327 - 4.1(3)及之后
15454, 15454 SDH - 4.6(1)及之后, 4.1(3)及之后
5600 - 1.3(0)及之后, 1.1(0)及之后


ACK拒绝服务攻击可采用如下补丁:

15327 - 4.1(1)及之后, 4.0(2)及之后
15454, 15454 SDH - 4.6(1)及之后, 4.1(1)及之后, 4.0(2)及之后

超级用户访问问题可采用如下补丁:

15327 - 4.1(3)及之后
15454, 15454 SDH - 4.6(1)及之后, 4.1(3)及之后
15600 - 1.1(1), 5.0 及之后 (pending release)

关于Cisco ONS 15454升级到已修复程序的方法,详情请见:
http://www.cisco.com/univercd/cc/td/doc/product/ong/15400/r46docs/index.htm

关于Cisco ONS 15327升级到已修复程序的方法,详情请见:
http://www.cisco.com/univercd/cc/td/doc/product/ong/15327/327doc41/index.htm

关于Cisco ONS 15600升级到已修复程序的方法,详情请见:
http://www.cisco.com/univercd/cc/td/doc/product/ong/15327/327doc41/index.htm


签约用户可从正常更新渠道获取升级软件。对大多数用户来说,可通过Cisco网站软件中心获取升级软件:
http://www.cisco.com/kobayashi/sw-center/sw-optical.shtml.


事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。

直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法:

* +1 800 553 2447 (北美地区免话费)
* +1 408 526 7209 (全球收费)
* e-mail: tac@cisco.com
厂商补丁 (无补丁信息)
验证信息 (暂无验证信息)
报送时间 2004-02-19
收录时间 2004-02-19
更新时间 2004-02-19
漏洞附件 (无附件)
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论