信息提供：	安全公告（或线索）提供热线：51cto.editor@gmail.com
漏洞类别：	拒绝服务攻击
攻击类型：	远程攻击
发布日期：	2006-02-15
更新日期：	2006-02-16
受影响系统：	cisco guard 5.0(3) cisco guard 5.0(1) cisco traffic anomaly detector 5.0(3) cisco traffic anomaly detector 5.0(1)
安全系统：	cisco guard 5.1(4) cisco traffic anomaly detector 5.1(4)
漏洞报告人：	gerrit wenig
漏洞描述：	bugtraq  id: 16661 cisco guard和cisco traffic anomaly detector设备都是缓解分布式拒绝服务（ddos）攻击的设备，可以检测是否存在潜在的ddos攻击，并转移流向所监控网络的攻击流量而不会影响合法通讯流。 cisco guard和cisco anomaly traffic detector对访问认证处理上存在漏洞，在某些情况下，攻击者可以绕过访问认证，获取非授权访问权限。 如果cisco guard和cisco anomaly traffic detector设备配置为使用外部tacacs+服务器对登录到设备的用户进行认证，而tacacs-server host命令没有指定实际的tacacs+服务器，则可以绕过认证。绕过认证用户可得到的权限取决于登录所使用的帐号类型，以及设备上是否存在帐号，情况如下： * 使用不存在的帐号：用户只能执行show命令 * 使用已有的本地帐号：用户可获得正常给予该帐号相同的权限 * 使用已有的linux帐号：用户可访问基础linux shell 此外，如果通过aaa authentication enable tacacs+命令对tacacs+服务器执行enable认证且没有通过tacacs-server host命令指定实际的tacacs+服务器的话，用户还可以绕过enable命令的认证。 请注意仅在缺少tacacs-server host命令的情况下设备才存在漏洞。如果存在这条命令则即使服务器的ip地址不正确，或无法到达tacacs+服务器，设备也没有漏洞。
测试方法：	无
解决方法：	临时解决方法： 如果您不能立刻安装补丁或者升级，nsfocus建议您采取以下措施以降低威胁： * 通过tacacs-server host 命令指定tacacs+服务器，完成tacacs+认证配置。 厂商补丁： cisco ----- cisco已经为此发布了一个安全公告（cisco-sa-20060215-guard）以及相应补丁: cisco-sa-20060215-guard：tacacs+ authentication bypass in cisco anomaly detection and mitigation products 链接：http://www.cisco.com/warp/public/707/cisco-sa-20060215-guard.shtml 补丁下载： cisco guard设备软件下载位于 http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto cisco traffic anomaly detector设备软件下载位于 http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ad-crypto cisco catalyst 6500交换机/cisco 7600路由器的cisco anomaly guard模块软件下载位于 http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto cisco catalyst 6500交换机/cisco 7600路由器的cisco anomaly traffic detector模块软件下载位于 http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-adm-crypto