Cisco 设备中存在口令配置认证绕过漏洞

受影响系统： Cisco Firewall Services Module 3.1(x) <= 3.1(1.6) Cisco PIX/ASA 7.1(x) <= 7.1(2.4) Cisco PIX/ASA 7.0(x) <= 7.0(5) 描述： Cisco PIX、ASA和FWSM都是非常流行的防火墙设备，提供能够进行状态报文过滤和深层报文检查的防火墙服务。 上述设备所使用的某些软件版本中可能存在bug，在某些环境中会导致未经用户干预便更改了EXEC命令、本地定义用户的口令，以及启动配置中所存储的enable口令。 仅有两种情况可以触发这个软件bug： 软件崩溃，通常是由软件bug所导致的。请注重不是所有的软件崩溃都会导致上述的不良结果。 两个或多个用户在同一设备上同时进行配置更改。无论使用何种方法访问设备（命令行接口[CLI]，自适应安全设备治理器[ASDM]，防火墙治理中心等），都会触发漏洞。 请注重在通过write memory或copy running-config startup-config命令向存储启动配置的稳定媒介中保存配置时，就会更改启动配置中的口令。在正常的操作中，假如没有保存所运行的配置，就不会更改启动配置中的口令。 一旦更改了启动配置中的口令，假如EXEC和enable权限的认证依靠于口令或存储在启动配置中的本地帐号的话，则在下一次设备重载后就会将治理员锁定。假如使用AAA服务器（RADIUS或TACACS ）进行认证的话，则无论是否将LOCAL认证配置为回退（fallback），仅在AAA服务器不可用时更改启动配置中的口令才会导致上述不良结果。 这个软件漏洞可能导致未经用户干预便更改了EXEC口令、本地定义用户的口令和启动配置中的enable口令。假如将认证配置为使用启动配置中所存储的口令的话，这会导致治理员无法登录到设备。 假如恶意用户能够猜测到新口令的话，且重启了设备，无论是由于软件崩溃所导致的自动重启还是网络治理员的手动重启，都可以非授权访问设备。 厂商补丁： Cisco已经为此发布了一个安全公告（cisco-sa-20060823-firewall）以及相应补丁:cisco-sa-20060823-firewall：Unintentional Password Modification in Cisco Firewall Products 链接：http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml