Se ha identificado una vulnerabilidad en la
funcionalidad Data-link Switching (DLSw) en Cisco IOS que puede ser aprovechada
por atacantes remotos sin autenticar para obtener información sensible de los
paquetes procesados anteriormente.
La
vulnerabilidad, con CVE-2014-7992, reside en una falta de inicialización de
búfers de paquetes. Un atacante podría explotar esta vulnerabilidad mediante
una conexión al puerto DLSw (TCP/2067) para obtener información sensible de los
paquetes procesados previamente, incluyendo contraseñas en texto claro y
cadenas de comunidad SNMP.
El problema está
confirmado en Cisco IOS versión 15.4(2)T3 y anteriores. Cisco no ofrece
actualizaciones gratuitas para este problema. Los usuarios afectados deberán
contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco IOS Software DLSw Information Disclosure
Vulnerability
- http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-7992
- http://tools.cisco.com/security/center/viewAlert.x?alertId=36453
