51CTO首页 | 论坛 | 博客 | 技术圈 | 求职 | 读书 | 技术频道 | CIO | 导航
首页 | 动态 | 病毒 | 漏洞 | 黑客 | ARP | 嗅探扫描 | Web安全 | 邮件安全 | 专家专栏 | 全部文章
您所在的位置: 首页>>网络安全>>漏洞补丁>>Cisco>>

Cisco PIX和ASA设备远程拒绝服务漏洞

http://netsecurity.51cto.com  2007-10-19 09:18  绿盟  绿盟科技  我要评论(0)
  • 摘要:Cisco PIX和ASA设备在处理MGCP及TLS畸形报文时存在漏洞,远程攻击者可能利用这些漏洞导致设备拒绝服务。
  • 标签:漏洞  PIX  ASA  拒绝服务  Cisco

发布日期:2007-10-17
更新日期:2007-10-18

受影响系统:
Cisco PIX Firewall 8.0
Cisco PIX Firewall 7.2
Cisco PIX Firewall 7.1
Cisco PIX Firewall 7.0
Cisco ASA 8.0
Cisco ASA 7.2
Cisco ASA 7.1
Cisco ASA 7.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 26104

PIX是一款防火墙设备,可为用户和应用提供策略强化、多载体攻击防护和安全连接服务;自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。

Cisco PIX和ASA设备在处理MGCP及TLS畸形报文时存在漏洞,远程攻击者可能利用这些漏洞导致设备拒绝服务。

如果处理了特制MGCP报文的话,则启用了MGCP应用层协议检查功能的PIX或ASA安全设备可能重载。MGCP应用层协议检查不是默认启用的。MGCP消息是通过用户数据报协议(UDP)传输的,这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。

这个漏洞在Cisco Bug ID中记录为CSCsi90468。

PIX和ASA安全设备依赖于TLS保护各种情况下通讯的保密性。在所有的情形中,PIX和ASA可能受TLS协议处理中漏洞的影响,在处理特制TLS报文时可能导致设备重载。在无客户端WebVPN连接、HTTPS管理会话、网络访问的直通代理和加密语音检查的TLS代理情况下才可能出现这个漏洞。

这个漏洞在Cisco Bug ID中记录为CSCsg43276和CSCsh97120。

<*来源:Cisco安全公告

链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查:

ASA(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
ASA(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
ASA(config)# class-map MGCP
ASA(config-cmap)# match access-list mgcp_traffic
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# class MGCP
ASA(config-pmap-c)# inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#

* 仅应允许可信任的接口和来自授权的主机访问ASDM,例如,如果要仅限地址为192.168.1.2的内部网络中的单个主机访问ASDM,可输入以下命令:

hostname(config)# http 192.168.1.2 255.255.255.255 inside

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20071017-asa)以及相应补丁:
cisco-sa-20071017-asa:Multiple Vulnerabilities in Cisco PIX and ASA Appliances
链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml

补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2

【绿盟授权51CTO.COM 独家报道,未经书面许可不得转载!】

【相关文章】

【责任编辑:赵毅 TEL:(010)68476606】

上一篇: Cisco防火墙服务模块远程拒绝服务及ACL破坏漏洞 下一篇: Cisco IP电话呼叫处理组件远程权限提升漏洞
拒绝服务攻击DoS专题
用户如何应对ANI漏洞
访谈:Windows平台,企业网站漏洞的攻击和防御
CISCO PIX系列防火墙
Cisco IOS
查看所有评论(0 )
 
 验证码: (点击刷新验证码)   匿名发表

频道推荐

更多>>

全站热点

更多>>
ARP攻击防范与解决方案
ARP攻击防范与..
SOA 面向服务架构
SOA 面向服务..

技术人

更多>>
Google十周年:..
求职必杀技 决战..

读书

更多>>

  • Visual C++ 完全自学宝典

  • 作者:强锋科技,朱洪波
  • Visual C++ 6.0是微软公司为程序人员提供的Visual Studio 6.0工具套件中的重要组成部分。本书由浅入深地介绍使用Visual C++ 6.0..

优秀博文

更多>>

最新热帖

更多>>

技术快讯

查看样刊
Copyright©2005-2008 51CTO.COM 版权所有