作家
登录

Cisco PIX和ASA设备远程拒绝服务漏洞

作者: 来源: 2012-06-12 21:53:51 阅读 我要评论

发布日期:2007-10-17
更新日期:2007-10-18

受影响系统:
Cisco PIX Firewall 8.0
Cisco PIX Firewall 7.2
Cisco PIX Firewall 7.1
Cisco PIX Firewall 7.0
Cisco ASA 8.0
Cisco ASA 7.2
Cisco ASA 7.1
Cisco ASA 7.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 26104

PIX是一款防火墙设备,可为用户和应用提供策略强化、多载体攻击防护和安全连接服务;自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。

Cisco PIX和ASA设备在处理MGCP及TLS畸形报文时存在漏洞,远程攻击者可能利用这些漏洞导致设备拒绝服务。

如果处理了特制MGCP报文的话,则启用了MGCP应用层协议检查功能的PIX或ASA安全设备可能重载。MGCP应用层协议检查不是默认启用的。MGCP消息是通过用户数据报协议(UDP)传输的,这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。

这个漏洞在Cisco Bug ID中记录为CSCsi90468。

PIX和ASA安全设备依赖于TLS保护各种情况下通讯的保密性。在所有的情形中,PIX和ASA可能受TLS协议处理中漏洞的影响,在处理特制TLS报文时可能导致设备重载。在无客户端WebVPN连接、HTTPS管理会话、网络访问的直通代理和加密语音检查的TLS代理情况下才可能出现这个漏洞。

这个漏洞在Cisco Bug ID中记录为CSCsg43276和CSCsh97120。

<*来源:Cisco安全公告

链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查:

ASA(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
ASA(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
ASA(config)# class-map MGCP
ASA(config-cmap)# match access-list mgcp_traffic
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# class MGCP
ASA(config-pmap-c)# inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#

* 仅应允许可信任的接口和来自授权的主机访问ASDM,例如,如果要仅限地址为192.168.1.2的内部网络中的单个主机访问ASDM,可输入以下命令:

hostname(config)# http 192.168.1.2 255.255.255.255 inside

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20071017-asa)以及相应补丁:
cisco-sa-20071017-asa:Multiple Vulnerabilities in Cisco PIX and ASA Appliances
链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml

补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2

【绿盟授权51CTO.COM 独家报道,未经书面许可不得转载!】

【相关文章】

  • 浏览更多漏洞补丁信息

  推荐阅读

  Cisco防火墙服务模块远程拒绝服务及ACL破坏漏洞

发布日期:2007-10-17 更新日期:2007-10-18受影响系统: Cisco Firewall Services Module 3.2 Cisco Firewall Services Module 3.1 Cisco Firewall Services Module 2.3 不受影响系统: Cisco Firewall Servi>>>详细阅读


本文标题:Cisco PIX和ASA设备远程拒绝服务漏洞

地址:http://www.17bianji.com/anquan/buding/2452.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)