zurück zum Artikel

Mit Kenntnis des vorbelegten Root-Passworts kann ein Eindringling die Kontrolle über das System erhalten.

Wieder einmal muss Cisco ein fest einprogrammiertes Passwort [1] mit einem Update aus einem seiner Geräte entfernen. Diesmal hat es die Wireless-Location-Appliance-Software getroffen, die in Cisco 2700 Series Wireless Location Appliances (WLA) zum Einsatz kommt.

Mit Kenntnis der vorbelegten Login-Daten (Root/Password (sic!)) kann ein Eindringling die Kontrolle über das System erhalten. Der Hersteller schreibt in seinem Bericht, dass der Fehler in Software-Versionen bis 2.1.34.0 steckt. Auch in aktualisierten Versionen würde das Problem noch zu finden sein, wenn der Anwender das Passwort nach der Installation nicht explizit geändert habe. Nach der Installation des Updates wird der Anwender nur bei einer Erstinstallation gezwungen, dass Passwort zu ändern. Bei bereits bestehenden Installationen muss der Anwender deshalb von sich aus das Kennwort nachträglich ändern.

Siehe dazu auch: (dab [2])

• Default Password in Wireless Location Appliance [3], Fehlerbericht von Cisco

URL dieses Artikels:
https://www.heise.de/-171427

Links in diesem Artikel:
[1] https://www.heise.de/news/Drei-Sicherheits-Updates-von-Cisco-164717.html
[2] mailto:dab@ct.de
[3] http://www.cisco.com/warp/public/707/cisco-sa-20061012-wla.shtml

Copyright © 2006 Heise Medien