CERT-FI haavoittuvuustiedote 134/2007

11.10.2007

Haavoittuvuus Cisco IOS -ohjelmistossa

Kohde:	- verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Ciscon IOS-ohjelmistosta on havaittu haavoittuvuus tulostuspalveluissa käytetyssä lpd daemon -komoponentissa. Haavoittuvuuden avulla hyökkääjä voi saada aikaan IOS-ohjelmistolla varustetun verkkolaitteen uudelleenkäynnistyksen.

HAAVOITTUVAT OHJELMISTOT:

• Cisco IOS-ohjelmisto, versioluettelo saatavissa seuraavasta linkistä:
  http://www.securityfocus.com/bid/26001/info
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Oletusarvoisesti lpd-palvelu ei ole käynnissä IOS-ympäristössä.

Haavoittuvuutta ei voi hyödyntää jos lpd-palvelu ei ole käytössä.

Päivitä haavoittuva IOS-ohjelmisto ohjelmistovalmistajan tiedotteen mukaisesti.

LISÄTIETOA:

• http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml
• http://www.irmplc.com/index.php/155-Advisory-024
• http://www.securityfocus.com/bid/26001
  

PÄIVITYSHISTORIA:

11.10.2007, kello 12.54: Julkaistu

11.10.2007, kello 17.07: Korjattu kirjoitusvirheitä

Sivua päivitetty 11.10.2007

Tulostusversio