Avis du CERT-FR

Objet: Vulnérabilité dans CISCO IOS

Gestion du document

Référence	CERTA-2003-AVI-128
Titre	Vulnérabilité dans CISCO IOS
Date de la première version	31 juillet 2003
Date de la dernière version	31 juillet 2003
Source(s)	Bulletin de sécurité CISCO "Enumerating Locally Defined Users in CISCO IOS"
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Divulgation d'informations

Systèmes affectés

CISCO IOS 11.X

Résumé

Une vulnérabilité a été découverte dans l'IOS de Cisco permettant à un individu mal intentionné de lister les utilisateurs définis localement.

Description

Un utilisateur mal intentionné peut déterminer la liste des utilisateurs définis localement en analysant les messages id'erreur renvoyés lors d'une authentification sur le routeur via Telnet.

Solution provisoire

Désactiver Telnet et utiliser SSH ou bien l'authentification de type AAA new-model.

Documentation

Bulletin de sécurité CISCO "Enumerating Locally Defined Users in CISCO IOS" :

http://www.cisco.com/warp/public/707/cisco-sn-20030724-ios-enum.shtml

Gestion détaillée du document

le 31 juillet 2003: version initiale.