CERT-FI haavoittuvuustiedote 047/2005

30.6.2005

Haavoittuvuus Cisco IOS -ohjelmistossa


Kohde:	- verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Cisco IOS -ohjelmistolla varustetuista verkkolaitteista on löydetty haavoittuvuus. Haavoittuvuus liittyy Remote Authentication Dial In User Service (RADIUS) -todennusmenetelmän virheeseen.

Haavoittuvuutta voidaan hyväksikäyttää antamalla RADIUS-todennusmenetelmälle liian pitkä käyttäjätunnus. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista ohittaa RADIUS-todennus.

Cisco IOS -ohjelmistolla varustettu verkkolaite on haavoittuva, mikäli käytössä on haavoittuva ohjelmistoversio, jossa on käytössä RADIUS-todennusmenetelmä ja todennuksen varamenettelyksi on konfiguroitu "none".