漏洞信息详情

Cisco PIX和ASA设备MGCP及TLS报文远程拒绝服务漏洞

• CNNVD编号：CNNVD-200710-368
• 危害等级： 高危
  
• CVE编号： CVE-2007-5568
• 漏洞类型： 输入验证
• 发布时间： 2007-10-18
• 威胁类型： 远程
• 更新时间： 2007-10-22
• 厂        商： cisco
• 漏洞来源： Cisco安全公告

漏洞简介

PIX是一款防火墙设备，可为用户和应用提供策略强化、多载体攻击防护和安全连接服务；自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。

Cisco PIX和ASA设备在处理MGCP及TLS畸形报文时存在漏洞，远程攻击者可能利用这些漏洞导致设备拒绝服务。

如果处理了特制MGCP报文的话，则启用了MGCP应用层协议检查功能的PIX或ASA安全设备可能重载。MGCP应用层协议检查不是默认启用的。MGCP消息是通过用户数据报协议(UDP)传输的，这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。

漏洞公告

临时解决方法：

* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。

* 限制MGCP网关之间通讯的MGCP应用层检查：

ASA(config)# access-list mgcp_traffic permit udp host 192.168.0.1

host 172.16.0.1 eq 2427

ASA(config)# access-list mgcp_traffic permit udp host 172.16.0.1

host 192.168.0.1 eq 2427

ASA(config)# class-map MGCP

ASA(config-cmap)# match access-list mgcp_traffic

ASA(config-cmap)# exit

ASA(config)# policy-map global_policy

ASA(config-pmap)# class inspection_default

ASA(config-pmap-c)# no inspect mgcp

ASA(config-pmap-c)# exit

ASA(config-pmap)# class MGCP

ASA(config-pmap-c)# inspect mgcp

ASA(config-pmap-c)# exit

ASA(config-pmap)# exit

ASA(config)#

* 仅应允许可信任的接口和来自授权的主机访问ASDM，例如，如果要仅限地址为192.168.1.2的内部网络中的单个主机访问ASDM，可输入以下命令：

hostname(config)# http 192.168.1.2 255.255.255.255 inside

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Cisco已经为此发布了一个安全公告(cisco-sa-20071017-asa)以及相应补丁:

cisco-sa-20071017-asa：Multiple Vulnerabilities in Cisco PIX and ASA Appliances

链接：

http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.sHTML

补丁下载：

http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2

http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2

参考网址

来源: BID

名称: 26104

链接:http://www.securityfocus.com/bid/26104

来源: CISCO

名称: 20071017 Multiple Vulnerabilities in Firewall Services Module

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a00808dda61.sHTML

来源: CISCO

名称: 20071017 Multiple Vulnerabilities in Cisco PIX and ASA Appliance

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a00808dda56.sHTML

来源: XF

名称: cisco-asa-pix-mgcp-dos(37259)

链接:http://xforce.iss.net/xforce/xfdb/37259

来源: XF

名称: cisco-fwsm-mgcp-dos(37257)

链接:http://xforce.iss.net/xforce/xfdb/37257

来源: SECTRACK

名称: 1018827

链接:http://www.securitytracker.com/id?1018827

来源: SECTRACK

名称: 1018826

链接:http://www.securitytracker.com/id?1018826

来源: SECTRACK

名称: 1018825

链接:http://www.securitytracker.com/id?1018825

来源: BID

名称: 26109

链接:http://www.securityfocus.com/bid/26109

来源: VUPEN

名称: ADV-2007-3531

链接:http://www.frsirt.com/english/advisories/2007/3531

来源: VUPEN

名称: ADV-2007-3530

链接:http://www.frsirt.com/english/advisories/2007/3530

来源: SECUNIA

名称: 27236

链接:http://secunia.com/advisories/27236

来源: SECUNIA

名称: 27193

链接:http://secunia.com/advisories/27193

受影响实体

• Cisco Adaptive_security_appliance:7.2%282.17%29  
• Cisco Adaptive_security_appliance:7.2%282.19%29  
• Cisco Adaptive_security_appliance:7.2%282.15%29  
• Cisco Adaptive_security_appliance:7.2%282.16%29  
• Cisco Adaptive_security_appliance:7.2%282.14%29  

补丁

暂无