Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Betroffene Plattformen:

Cisco IOS
Cisco IOS XE

Eine Schwachstelle in der Implementierung des Algorithmus zur Konvertierung
von Kennwörtern “Type 4” in Cisco IOS (XE) erlaubt einem Angreifer die
Komplexität für Rateangriffe erheblich zu reduzieren.

Workaround:

Im Hersteller-Advisory werden Methoden zur Umgehung des Problems diskutiert.

http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20130318-type4

cisco-type4-hash-vuln: Schwachstelle im Cisco Type 4 Password-Algorithmus

Aufgrund eines Fehlers in der Implementierung des Type 4 Algorithmus wird
weder ein “Salt” für das Kennwort verwendet, noch die PBKDF2-Methode. Es
wird lediglich eine einzelne Iteration von SHA-256 auf das Kennwort
angewendet. Einem Angreifer ist es dadurch möglich, die Komplexität für
einen Angriff auf das Kennwort (“Brute Force”) erheblich zu reduzieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0625/

Das Hersteller Advisory:
http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20130318-type4

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.