CVE-2017-6742


2023. április 19. 08:57

Cisco IOS és IOS XE sérülékenysége
Angol cím: Cisco IOS és IOS XE vulnerability

Publikálás dátuma: 2023.04.19.
Utolsó módosítás dátuma: 2019.10.09.

Leírás

A program a tervezett memória puffer hátárán kívüli helyeken végezhet műveleteket.

Leírás forrása: CWE-119

Elemzés leírás

A Cisco IOS 12.0–12.4 és 15.0–15.6, valamint az IOS XE 2.2–3.17 verzióinak Simple Network Management Protocol (SNMP) alrendszere több olyan sebezhetőséget tartalmaz, amelyek lehetővé teszik a hitelesített távoli támadók számára, hogy távolról kódot hajtsanak végre az érintett rendszeren, vagy az érintett rendszert újraindítsák. A támadó speciálisan kialakított SNMP-csomagok küldésével használhatja ki ezeket a biztonsági réseket.

A sérülékenységek oka az érintett szoftververziók SNMP alrendszerének puffer-túlcsordulási hibája. A biztonsági rések az SNMP összes verzióját érintik: az 1., 2c. és 3. verziót. A biztonsági rések 2c vagy korábbi SNMP verzióján keresztüli kihasználásához a támadónak ismernie kell az érintett rendszer csak olvasható SNMP közösségi karakterláncát.

A biztonsági rések SNMP 3-as verzióján keresztüli kihasználásához a támadónak rendelkeznie kell az érintett rendszer felhasználói hitelesítő adataival. Minden olyan eszközt, amely engedélyezte az SNMP-t, és nem zárta ki kifejezetten az érintett MIB-eket vagy OID-ket, sebezhetőnek kell tekinteni.

A vonatkozó Cisco hibaazonosító: CSCve54313.

Elemzés leírás forrása: CVE-2017-6742 Elemzés leírás utolsó módosítása: 2019.10.09.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 8.8 (Magas)
Vektor: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 2.8

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Hivatkozások

http://www.securityfocus.com/bid/99345
http://www.securitytracker.com/id/1038808
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

Sérülékeny szoftverek

 cpe:2.3:o:cisco:ios_xe:2.2.0:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.2.1:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.2.2:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.2.3:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.3.0:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.3.1:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.3.1t:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.3.2:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.4.0:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.4.1:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.4.2:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.4.3:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.5.0:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.5.1:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.6.0:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:2.6.1:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.1.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.1.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.1.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.1.3as:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.1.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.2.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.2.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.2.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.3.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.3.0se:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.3.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.3.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.0as:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.5s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.4.6s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.5.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.5.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.5.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.6.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.6.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.6.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.4as:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.5s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.6s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.7.7s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.8.0ex:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.8.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.8.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.8.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.9.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.9.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.9.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.5s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.6s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.7s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.8as:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.10.8s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.11.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.11.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.11.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.11.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.12.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.12.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.12.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.12.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.12.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.5s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.6as:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.13.6s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.14.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.14.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.14.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.14.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.14.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.15.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.15.1s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.15.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.15.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.15.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.16.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.16.2s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.16.3s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.16.4s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.16.5s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.17.0s:*:*:*:*:*:*:*
  cpe:2.3:o:cisco:ios_xe:3.17.1s:*:*:*:*:*:*:*

Legfrissebb sérülékenységek
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
Tovább a sérülékenységekhez »