Összefoglaló
A Cisco IOS több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak cross-site scripting és cross-site kérés hamisításos támadások lefolytatására.
Leírás
A Cisco IOS több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak cross-site scripting és cross-site kérés hamisításos támadások lefolytatására.
-
A futtatott parancsok URL-jein keresztül átadott bemenet nincs megfelelően
ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges
HTML és script kódok lefuttatására, amikor a felhasználó az érintett oldalak
között böngészik. -
Az eszköz lehetővé teszi, hogy a felhasználók bizonyos tevékenységeket
hajtsanak végre a HTTP kéréseken keresztül, anélkül, hogy a kérések érvényessége
ellenőrzésre kerülne. Ez kihasználható az eszköz konfigurációjának a módosítására,
ha a felhasználó ellátogat egy káros web oldalra.
A sérülékenységet a Cisco IOS 12.4(23) hardverrel egybeépített szoftver verziójában
jelentették. Más verziók is lehetnek érintettek.
Megoldás
Szűrje proxyval a káros karaktereket és karaktersorozatokat!
Ne látogasson meg megbízhatatlan weboldalakat, ha bejelentkezik az eszközre!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 33844
Egyéb referencia: packetstormsecurity.org
Egyéb referencia: www.vupen.com