Pamiętacie, jak okazało się, że do bazy MySQL można, w pewnych szczególnych warunkach, zalogować się bez hasła, pod warunkiem, że próbuje się wystarczająco dużo razy? CISCO nie chciało być gorsze i postanowiło również ułatwić życie użytkownikom. Jeśli wierzyć biuletynowi bezpieczeństwa, który ukazał się przed chwilą, podstawowy produkt z linii bezpieczeństwa CISCO, Access Control System, zwany popularnie ACSem, korzystający z protokołu TACACS+ i zewnętrznej bazy LDAP, pozwoli każdemu włamywaczowi, który zgadnie nazwę użytkownika, na zalogowanie się na jego konto. Podatne są wersje 5.1 – 5.3. Brzmi fantastycznie. Podobno wystarczy podać specjalną sekwencję znaków, która zastąpi dowolne hasło. Ciekawe, czy brzmi ona „sezamieotworzsie”. Administratorom zestawu ACS/TACACS+/LDAP polecamy szybkie łatanie.
Komentarze
Link jest poprawny, bo taki sam zarejestrował PacketStorm (Packetstorm też to zarejestrował, link się zgadza: http://packetstormsecurity.org/files/117954/cisco-sa-20121107-acs.txt).
Czyżby Cisco usunęło advisory?
Dziękuję za informacje. Jestem jednym z tych administratorów. Nie chcę tego nazwać gorzej, więc napiszę, że jest to lekko niepoważne. Szczere podziękowania za informację.