发布日期：2009-03-25
更新日期：2009-03-26

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3  
Cisco IOS 12.2

描述：

---

BUGTRAQ  ID: 34247
CVE(CAN) ID: CVE-2009-0637

Cisco IOS是思科网络设备所使用的互联网操作系统。

安全拷贝（SCP）协议类似于远程拷贝（RCP）协议，允许在系统之间传输文件。Cisco IOS软件中SCP实现的服务器端存在漏洞，可能允许附加了CLI视图的认证用户从配置为SCP服务器的Cisco IOS设备传输文件，无论CLI视图配置授权给哪些用户上述权限。这个漏洞允许有效用户在设备的系统文件上检索或写入任意文件（包括设备保存的配置和Cisco IOS镜像文件），即使附加给用户的CLI视图不允许这些操作。配置文件中可能包含有口令或其他敏感信息。

<*来源：Kevin Graham
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml
*>

建议：

---

临时解决方法：

* 如果不需要IOS SCP服务器功能的话，则可通过禁用SCP服务器缓解本文所述漏洞。可以全局配置模式执行以下命令禁用SCP服务器：

                no ip scp server enable

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20090325-scp）以及相应补丁:
cisco-sa-20090325-scp：Cisco IOS Software Secure Copy Privilege Escalation Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml

浏览次数：2774
严重程度：0（网友投票）