Board logo

标题: [资讯] Cisco ASA和PIX安全设备多个拒绝服务漏洞 [打印本页]
作者: 西布伦    时间: 2008-6-12 14:56     标题: Cisco ASA和PIX安全设备多个拒绝服务漏洞

Cisco ASA和PIX安全设备多个拒绝服务漏洞

--------------------------------------------------------------------------------
受影响系统:
Cisco PIX/ASA 8.x
Cisco PIX/ASA 7.x

不受影响系统:
Cisco PIX/ASA 8.0(3)10
Cisco PIX/ASA 7.1(2)70

描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2008-2055,CVE-2008-2056,CVE-2008-2057,CVE-2008-2058,CVE-2008-2059

PIX是一款防火墙设备,可为用户和应用提供策略强化、多载体攻击防护和安全连接服务;自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。

Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备中存在多个安全漏洞,可能导致拒绝服务的情况,或允许攻击者绕过控制面访问控制列表(ACL)。这些漏洞之间彼此独立,设备可能受其中一个漏洞影响而不受其他漏洞影响。

1. 特制TCP ACK报文漏洞
+-----------------------------------

特制的TCP ACK报文可能导致Cisco ASA或Cisco PIX安全设备拒绝服务,仅有发送到设备而不是通过设备的报文才能触发这个漏洞。这个漏洞在Cisco Bug ID中记录为CSCsm84110,所分配的CVE标识为CVE-2008-2055。

2. 特制TLS报文漏洞
+-------------------------------

Cisco ASA和Cisco PIX安全设备依赖于TLS保护各种情况下通讯的保密性。在所有这些情况下,PIX和ASA可能受TLS协议处理中安全漏洞的影响,导致在处理特制的TLS报文时设备重载。仅有发送到设备而不是通过设备的报文才能触发这个漏洞。这个漏洞在Cisco Bug ID中记录为CSCsm26841,所分配的CVE标识为CVE-2008-2056。

3. 即时通讯检查漏洞
+-----------------------------------------

Cisco ASA和Cisco PIX IM检查引擎用于对网络中的IM使用应用细致的控制。如果启用了即使通讯检查的话,Cisco ASA和Cisco PIX受拒绝服务漏洞的影响。这个漏洞在Cisco Bug ID中记录为CSCso22981,所分配的CVE标识为CVE-2008-2057。

4. 漏洞扫描拒绝服务
+-----------------------------------

在对TCP 443端口执行漏洞扫描时,Cisco ASA和Cisco PIX安全设备受拒绝服务漏洞的影响。某些漏洞/端口扫描器会导致系统重载。这个漏洞在Cisco Bug ID中记录为CSCsj60659,所分配的CVE标识为CVE-2008-2058。

5. 控制面访问控制列表漏洞
+----------------------------------------------

控制面ACL用于保护发送到安全设备的通讯。Cisco ASA和Cisco PIX安全设备中存在漏洞,控制面ACL在设备上初始配置后可能无法工作。这个漏洞在Cisco Bug ID中记录为CSCsm67466,所分配的CVE标识为CVE-2008-2059。

<*来源:Cisco安全公告
  
  链接:http://secunia.com/advisories/30552/
        http://www.cisco.com/warp/public/707/cisco-sa-20080604-asa.shtml
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 仅允许网络中可信任主机的Telnet、SSH和ASDM连接。
* 在安全设备上禁用IM检查。

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20080604-asa)以及相应补丁:
cisco-sa-20080604-asa:Multiple Vulnerabilities in Cisco PIX and Cisco ASA
链接:http://www.cisco.com/warp/public/707/cisco-sa-20080604-asa.shtml

补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2



欢迎光临 IT家园 (http://bbs.it998.com/) Powered by Discuz! 7.2