Cisco 路由器在线帮助漏洞泄漏敏感信息

受影响的系统:
  Cisco IOS 9.14
  Cisco IOS 12.0.7
  Cisco IOS 12.0.6
  Cisco IOS 12.0.5
  Cisco IOS 12.0.4T
  Cisco IOS 12.0.4S
  Cisco IOS 12.0.4
  Cisco IOS 12.0.3T2
  Cisco IOS 12.0.2XG
  Cisco IOS 12.0.2XF
  Cisco IOS 12.0.2XD
  Cisco IOS 12.0.2XC
  Cisco IOS 12.0.2
  Cisco IOS 12.0.1XE
  Cisco IOS 12.0.1XB
  Cisco IOS 12.0.1XA3
  Cisco IOS 12.0.1W
  Cisco IOS 12.0T
  Cisco IOS 12.0S
  Cisco IOS 12.0DB
  Cisco IOS 12.0(9)S
  Cisco IOS 12.0(8)
  Cisco IOS 12.0(7)T
  Cisco IOS 12.0(5)T1
  Cisco IOS 12.0
  Cisco IOS 11.2.9XA
  Cisco IOS 11.2.9P
  Cisco IOS 11.2.8SA5
  Cisco IOS 11.2.8SA3
  Cisco IOS 11.2.8SA1
  Cisco IOS 11.2.8P
  Cisco IOS 11.2.8
  Cisco IOS 11.2.4F1
  Cisco IOS 11.2.10BC
  Cisco IOS 11.2.10
  Cisco IOS 11.2P
  Cisco IOS 11.2(17)
  Cisco IOS 11.2
  Cisco IOS 11.1.17CT
  Cisco IOS 11.1.17CC
  Cisco IOS 11.1.16IA
  Cisco IOS 11.1.16AA
  Cisco IOS 11.1.16
  Cisco IOS 11.1.15CA
  Cisco IOS 11.1.13IA
  Cisco IOS 11.1.13CA
  Cisco IOS 11.1.13AA
  Cisco IOS 11.1.13
  Cisco IOS 11.1
  Cisco Router 7500.0
  Cisco Router 7200.0
  Cisco Router 4000.0
  Cisco Router 3600.0
  Cisco Router 2600.0
  Cisco Router 2500.0

  描述: 很多Cisco路由器IOS的在线帮助系统中存在一个问题,可能泄漏敏感信息。这个漏洞允许某个低等级用户(例如,并不知道'enable'口令的用户)利用帮助系统去察看一些信息,而这些信息理论上应该只有那些知道'enable'口令的用户才能看到的。这些信息包括访问控制列表以及其他的一些内容。通常以低等级用户登陆之后(等级为1),用"show ?"只能看到一部分的show 命令列表。而对于'enable'用户来说,他就可以看到全部的命令。在一台运行IOS 12.0(5)的3640路由器上,一共有75个show命令。而在'disable'模式下的用户"show ?"只能看到其中一部分。但是这只是帮助系统没有显示这些命令而已。实际上它们仍然是存在而且可执行的,只有13个确实受到了限制,其他62个仍然可以执行。例如:"show access-lists","show ip","show cdp", "show logging", "show cdp", "show vlans"等,尽管帮助系统没有显示,但是仍然是可以执行的。这可能导致泄漏一些敏感信息给低级用户(也可能是一些潜在的攻击者).

  建议:
  - 设置缺省登陆等级为0
  - 使用"privilege exec"来指定0级用户可以执行的命令

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • C#隐藏手机号、邮箱等敏感信息的实现方法

    C#隐藏手机号、邮箱等敏感信息的实现方法

    Intro 做项目的时候,页面上有一些敏感信息,需要用"*"隐藏一些比较重要的信息,于是打算写一个通用的方法. Let's do it ! Method 1:指定左右字符数量 Method 1.1 中间的*的个数和实际长度有关 /// <summary> /// 隐藏敏感信息 /// </summary> /// <param name="info">信息实体</param> /// <param name=&q

  • Cisco 路由器在线帮助漏洞泄漏敏感信息

    受影响的系统: Cisco IOS 9.14 Cisco IOS 12.0.7 Cisco IOS 12.0.6 Cisco IOS 12.0.5 Cisco IOS 12.0.4T Cisco IOS 12.0.4S Cisco IOS 12.0.4 Cisco IOS 12.0.3T2 Cisco IOS 12.0.2XG Cisco IOS 12.0.2XF Cisco IOS 12.0.2XD Cisco IOS 12.0.2XC Cisco IOS 12.0.2 Cisco IOS 1

  • Cisco路由器配置信息及口令的清除

    Cisco 路由器配置信息及口令的清除 适用范围:所有IOS在10.0及以上版本的Cisco 2000.2500.3000.4000.7000系列路由器.   清除步骤如下:   1.用路由器所带的串口线连接到Console口,以下通过Win95的超级终端进行:   2.路由器加电后60秒内,按下CTRL(如果不行按CTRL-BREAK)键,等待出现"〉"提示符:   3.键入"〉e/s 2000002"命令,并记录下返回值,用在后面"Router(con

  • Cisco路由器故障诊断技术

    1 引言 作为网络工程师,在网络环境出现故障时,及时定位故障并解决故障是十分重要的.本文以CISCO路由式网络为基础,介绍使用诊断工具对Cisco路由器进行故障诊断的方法.限于篇幅,我们所介绍的内容和示例主要是基于IP报文的,基于IPX和Appletalk等协议的诊断技术与此类似. 2 路由器的功能特性和体系结构 在学习Cisco路由器上可使用的各种故障排除和诊断工具之前,了解路由器的基本体系结构是十分重要的.网络工程师应该理解诊断命令执行时所起的作用以及对于路由器性能所产生的影响. 交换与路由

  • Cisco路由器故障诊断技术重新编辑

    注:  要顺利地诊断并排除网络故障,网络工程技术人员必须掌握两种基本的技能.首先是对网络技术和协议要有清楚的理解,它是诊断与排除网络故障的基础.没有适当的知识和经验,故障诊断与排除工具比如路由器诊断命令和网络分析仪都不能发挥其作用. fffff>(net130.com)  1 引言 作为网络工程师,在网络环境出现故障时,及时定位故障并解决故障是十分重要的.本文以CISCO路由式网络为基础,介绍使用诊断工具对Cisco路由器进行故障诊断的方法.限于篇幅,我们所介绍的内容和示例主要是基于IP报文的,

  • Cisco 路由器常用命令

    Cisco 路由器常用命令 1 Exec commands: <1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互

  • 如何使用“PHP” 彩蛋进行敏感信息获取

    如何使用“PHP” 彩蛋进行敏感信息获取

    关于"PHP彩蛋"的说法也许很多老PHPer已经都知道或听说了,好像是早在PHP4版本的时候就有彩蛋了,挺好玩儿的,可能近年来逐渐被人们遗忘了,其实彩蛋功能在PHP脚本引擎默认情况下是开启. 写个phpinfo();然后访问,再加上以下的GET值即可查阅下面就用Discuz官方论坛做一下测试:http://www.discuz.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42http://www.discuz.net/?=PHPE9568F35

  • Cisco路由器安全配置必用10条命令

    当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条命令列表. 当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,有一些东西是你在每台新的Cisco路由器上都应该配置的. 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的"正确"配置每台路由器的命令. 这是我认为你应该在每台路由

  • Cisco路由器全局、接口、协议调试指南

    全局调试 在配置Cisco路由器时,全局和接口命令的界限是十分明显的.在这种情况下,我们使用"全局"来标识那些不能用于接口调试或者特定的传输介质类型和协议调试的命令.例如,在2500系列路由器中,就可以使用调试命令分析Cisco发现协议(Cisco Discovery Protocol,CDP).我们通过telnet远程登录到路由器.在缺省方式下,调试命令的输出被发送到控制台,如果处于telnet会话中 ,我们可以使用terminal monitor命令查看输出. 接口调试 debug

  • Cisco路由器的安全配置

    目前大多数的企事业单位和部门连Internet网,通常都是一台路由器与ISP连结实现.这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障.现在大多数的路由器都是Cisco公司的产品或与其功能近似,本文在这里就针对Cisco路由器的安全配置进行管理. 考虑到路由器的作用和位置, 路由器配置的好坏不仅影响本身的安全也影响整个网络的安全.目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访

  • Cisco路由器的备份配置方法

    Cisco路由器的备份技术有多种.这里介绍一下路由器自身的备份技术及线路备份技术. 一般来说,路由器是建立局域网与广域网连接的桥梁. 所谓的路由器自身的备份技术是为了解决路由器由于自身硬件(如内存.CPU)或软件IOS的某种故障或局域端口的故障,所连接局域设备的端口或线路的故障所导致的网络瘫痪的问题. 路由器的备份要求至少有一台与正在工作的主路由器功能相同的路由器,在主路由器瘫痪的情况下,以某种方式代替主路由器,为局域网用户提供路由服务. 对于局域网的计算机,在主路由器瘫痪的情况下,如何找到备份

随机推荐