漏洞信息详情
Cisco PIX和ASA设备MGCP及TLS报文远程拒绝服务漏洞
- CNNVD编号:CNNVD-200710-368
- 危害等级: 高危
- CVE编号: CVE-2007-5568
- 漏洞类型: 输入验证
- 发布时间: 2007-10-18
- 威胁类型: 远程
- 更新时间: 2007-10-22
- 厂 商: cisco
- 漏洞来源: Cisco安全公告
漏洞简介
PIX是一款防火墙设备,可为用户和应用提供策略强化、多载体攻击防护和安全连接服务;自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。
Cisco PIX和ASA设备在处理MGCP及TLS畸形报文时存在漏洞,远程攻击者可能利用这些漏洞导致设备拒绝服务。
如果处理了特制MGCP报文的话,则启用了MGCP应用层协议检查功能的PIX或ASA安全设备可能重载。MGCP应用层协议检查不是默认启用的。MGCP消息是通过用户数据报协议(UDP)传输的,这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。
漏洞公告
临时解决方法:
* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查:
ASA(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
ASA(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
ASA(config)# class-map MGCP
ASA(config-cmap)# match access-list mgcp_traffic
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# class MGCP
ASA(config-pmap-c)# inspect mgcp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#
* 仅应允许可信任的接口和来自授权的主机访问ASDM,例如,如果要仅限地址为192.168.1.2的内部网络中的单个主机访问ASDM,可输入以下命令:
hostname(config)# http 192.168.1.2 255.255.255.255 inside
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Cisco已经为此发布了一个安全公告(cisco-sa-20071017-asa)以及相应补丁:
cisco-sa-20071017-asa:Multiple Vulnerabilities in Cisco PIX and ASA Appliances
链接:
http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.sHTML
补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2
参考网址
来源: BID
名称: 26104
链接:http://www.securityfocus.com/bid/26104
来源: CISCO
名称: 20071017 Multiple Vulnerabilities in Firewall Services Module
链接:http://www.cisco.com/en/US/products/products_security_advisory09186a00808dda61.sHTML
来源: CISCO
名称: 20071017 Multiple Vulnerabilities in Cisco PIX and ASA Appliance
链接:http://www.cisco.com/en/US/products/products_security_advisory09186a00808dda56.sHTML
来源: XF
名称: cisco-asa-pix-mgcp-dos(37259)
链接:http://xforce.iss.net/xforce/xfdb/37259
来源: XF
名称: cisco-fwsm-mgcp-dos(37257)
链接:http://xforce.iss.net/xforce/xfdb/37257
来源: SECTRACK
名称: 1018827
链接:http://www.securitytracker.com/id?1018827
来源: SECTRACK
名称: 1018826
链接:http://www.securitytracker.com/id?1018826
来源: SECTRACK
名称: 1018825
链接:http://www.securitytracker.com/id?1018825
来源: BID
名称: 26109
链接:http://www.securityfocus.com/bid/26109
来源: VUPEN
名称: ADV-2007-3531
链接:http://www.frsirt.com/english/advisories/2007/3531
来源: VUPEN
名称: ADV-2007-3530
链接:http://www.frsirt.com/english/advisories/2007/3530
来源: SECUNIA
名称: 27236
链接:http://secunia.com/advisories/27236
来源: SECUNIA
名称: 27193
链接:http://secunia.com/advisories/27193
受影响实体
- Cisco Adaptive_security_appliance:7.2%282.17%29
- Cisco Adaptive_security_appliance:7.2%282.19%29
- Cisco Adaptive_security_appliance:7.2%282.15%29
- Cisco Adaptive_security_appliance:7.2%282.16%29
- Cisco Adaptive_security_appliance:7.2%282.14%29
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论