domingo, 23 de noviembre de 2014

Vulnerabilidad en DLSw de Cisco IOS permite obtener información sensible

Se ha identificado una vulnerabilidad en la funcionalidad Data-link Switching (DLSw) en Cisco IOS que puede ser aprovechada por atacantes remotos sin autenticar para obtener información sensible de los paquetes procesados anteriormente.
  
La vulnerabilidad, con CVE-2014-7992, reside en una falta de inicialización de búfers de paquetes. Un atacante podría explotar esta vulnerabilidad mediante una conexión al puerto DLSw (TCP/2067) para obtener información sensible de los paquetes procesados previamente, incluyendo contraseñas en texto claro y cadenas de comunidad SNMP.

El problema está confirmado en Cisco IOS versión 15.4(2)T3 y anteriores. Cisco no ofrece actualizaciones gratuitas para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco IOS Software DLSw Information Disclosure Vulnerability



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada