思科單SSH密鑰安全出錯

責任編輯:editor005

作者:楊昀煦編譯

2015-06-26 14:06:29

摘自:ZDNet至頂網

紅著臉不好意思的思科推出一個補丁,皆因有些虛擬安全設備的SSH密鑰用了硬編碼的方法。由于密鑰是與虛擬設備遠程管理接口關聯(lián)的,攻擊者成功登錄后 就可以在設備里到處轉悠。這些虛擬設備的默認授權SSH密鑰和SSH主機密鑰是硬編碼的。

思科單SSH密鑰安全出錯

  未來的安全要用單SSH密鑰

紅著臉不好意思的思科推出一個補丁,皆因有些虛擬安全設備的SSH密鑰用了硬編碼的方法。

由于密鑰是與虛擬設備遠程管理接口關聯(lián)的,攻擊者成功登錄后 就可以在設備里到處轉悠。俗稱博格的思科日前宣布,旗下的網絡安全網關(WSAv)、電子郵件安全網關(ESAV)以及安全管理網關(SMAv)等虛擬設備在遠程支持服務里用的是默認密鑰。

這些虛擬設備的默認授權SSH密鑰和SSH主機密鑰是硬編碼的。

與此有關的安全公告指,“一旦有心人與受影響的平臺上的管理接口建立了IP地址連接就可以利用這些產品的這個漏洞。無需額外的配置就可以利用該漏洞。”

思科為該漏洞推出了一個補丁(“cisco-sa-20150625-ironport SSH Keys Vulnerability Fix”),并表示所有6月25日以前的版本需要打補丁進行修復。該補丁刪除預裝密鑰并強制重置。

安全公告還表示,“2015年6月25日以后下載或升級的物理硬件設備,或虛擬設備無需打補丁。”

思科在給在WSAv、ESAV和SMAv鏡像打補丁期間關掉了下載,但稱新的版本會在“在幾天內”公布,以期令客戶可以在規(guī)劃內更新時間表里更新。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號