Cisco CatOS内嵌HTTP服务程序缓冲区溢出漏洞(CNVD-2002-3860)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2002-10-16漏洞描述
Cisco Catalyst交换机运行的CatOS操作系统包含嵌入式HTTP服务程序。CatOS操作系统的HTTP服务程序对超长HTTP请求缺少正确处理,远程攻击者可以利用这个漏洞进行拒绝服务攻击,可能以HTTP服务进程的权限在系统上执行任意指令。如果Cisco Catalyst交换机运行了HTTP服务程序,攻击者可以发送超长的HTTP查询给嵌入的HTTP服务程序,可导致程序产生缓冲区溢出,并可以使交换机复位。一旦交换机恢复正常功能,HTTP服务程序又会受此漏洞影响。默认情况下HTTP服务关闭,一般情况下需要使用基于WEB的管理接口才会使用这个服务程序。此漏洞CISCO分配BUG ID为:CSCdy26428 - CatOS crash with web server enabled in http_get_token。解决建议
Cisco-----Cisco已经为此发布了一个安全公告(catos-http-overflow)以及相应补丁:catos-http-overflow:Cisco CatOS Embedded HTTP Server Buffer Overflow链接:http://www.cisco.com/warp/public/707/catos-http-overflow-vuln.shtml请升级到最新CatOS版本。签约用户可从正常更新渠道获取升级软件。对大多数用户来说,可通过Cisco网站软件中心获取升级软件:http://www.cisco.com/kobayashi/sw-center/sw-lan.shtml.事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法:* +1 800 553 2447 (北美地区免话费* +1 408 526 7209 (全球收费* e-mail: [email protected]
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2002-3860 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论