中文描述:

Cisco PIX/ASA和防火墙服务模块(FWSM)可提供能够进行状态报文过滤和深层报文检查的防火墙服务。 Cisco PIX 500系列安全设备和Cisco ASA 5500系列自适应安全设备中存在多个安全漏洞： 增强型检查畸形HTTP通讯 +----------------------------------------------- 如果启用了增强型HTTP检查的话，则在检查畸形HTTP请求时Cisco PIX和ASA安全设 备可能崩溃。如果启用了HTTP应用检查的话，配置中会包含有类似于inspect http 的行，其中是特定HTTP映射的名称。请注意正常的HTTP检查(通过inspect http 配置，没有HTTP映射)不受这个漏洞影响。 这个漏洞在Cisco Bug ID中记录为CSCsd75794。 检查畸形SIP报文 +------------------------------------- 检查畸形SIP报文可能导致Cisco PIX和ASA设备崩溃。如果要触发这个漏洞，必须 启用了SIP fixup(对于6.x软件)或inspect(对于7.x软件)功能。SIP fixup(在 6.x及更早版本)和SIP检查(在7.x及更早版本)是默认启用的。 这个漏洞在Cisco Bug ID中记录为CSCsd97077和CSCse27708。 检查畸形TCP报文流 +------------------------------------------------- Cisco PIX和ASA设备在处理基于TCP协议中畸形报文流时可能崩溃。必须通过inspect 功能处理协议。报文可能是发送给设备的，也可能仅是通过设备的。Cisco PIX和 ASA设备可检查以下基于TCP的协议： * 计算机电话接口快速缓冲区编码(CITQBE) * 分布式计算环境/远程过程调用(DCE/RPC) * 域名服务(DNS) * 扩展简单邮件传输协议(ESMTP) * 文件传输协议(FTP) * H.323协议 * 超文本传输协议(HTTP) * Internet定位服务器(ILS) * 即时消息(IM) * 点到点隧道协议(PPTP) * 远程Shell(RSH) * 实时流协议(RTSP) * 会话初始协议(SIP) * 小型(或简单)客户端控制协议(SCCP) * 简单邮件传输协议(SMTP) * Oracle SQL*Net * Sun RPC 这个漏洞在Cisco Bug ID中记录为CSCsh12711。 此外，某些FWSM软件版本中存在多个漏洞，可能导致设备意外重载： 增强型检查畸形HTTP通讯可能导致重载 +---------------------------------------------------------------- 这个漏洞可能导致FWSM在执行增强型检查HTTP请求并检查了畸形HTTP请求时出现重 载。仅在配置中存在inspect http 命令(appfw是特定HTTP映射的名称) 时FWSM才会执行增强型检查HTTP通讯。这个命令默认下是禁用的。 这个漏洞在Cisco Bug ID中记录为CSCsd75794。 检查畸形SIP消息可能导致重载 +------------------------------------------------------- 如果通过传输控制协议(TCP)或用户数据报协议(UDP)接收到畸形SIP消息，并 且对于通过TCP的SIP使用fixup protocol sip <portnum>命令启用深度检查SIP消 息，和/或对于通过UDP的SIP，在FWSM 2.3.x及之前版本中通过fixup protocol sip udp <portnum> 命令，或在FWSM 3.x及之后版本中通过inspect sip命令启用深度 检查SIP消息，则漏洞可能导致FWSM重载。SIP fixup在2.x及之前版本中和SIP检查 在3.x及之后版本中都是默认启用的。 这个漏洞在Cisco Bug ID中记录为CSCsg80915。 处理发送给FWSM的报文可能导致重载 +------------------------------------------------------- 这个漏洞导致FWSM在试图生成710006系统日志消息时出现重载。必须满足以下两个 条件才会出现这个漏洞： * FWSM接收到了一个设备IP地址的报文且消息不是以下协议：TCP、UDP、ICMP、OSPF、 Failover、PIM、IGMP和ESP。漏洞与报文的来源无关。 * 必须在足够高的级别启用日志以生成710006系统日志消息，默认下是调试级别(7 级)。请注意日志是默认禁用的，Cisco建议仅出于调试和纠错目的在调试级别记 录日志。 这个漏洞在Cisco Bug ID中记录为CSCse85707。 处理畸形HTTPS请求可能导致重载 +------------------------------------------------------- 如果用户试图访问Web站点且网络管理员配置设备允许网络访问之前认证用户的话， 这个漏洞可能导致FWSM重载。这个功能被称为"认证网络访问"或认证代理，可通过 aaa authentication match或aaa authentication include命令启用。 重载实际上是由无效的正常Web浏览器无法生成的特殊HTTPS请求触发的。 这个漏洞在Cisco Bug ID中记录为CSCsg50228。 处理超长HTTP请求可能导致重载 +------------------------------------------------------- 如果管理员通过aaa authentication match或aaa authentication include命令启 用了"认证网络访问(auth-proxy)"的话，这个漏洞也可能导致FWSM重载。但是， 在这种情况下导致重载的HTTP请求是有效的，尽管从所请求URL非常长这个意义来 讲不是正常的请求。Web浏览器在正常的浏览期间可以生成这样的请求。 这个漏洞在Cisco Bug ID中记录为CSCsd91268。 处理HTTPS通讯可能导致重载 +------------------------------------------------------- 如果FWSM收到了发送给FWSM本身的特定类型HTTPS通讯的话，这个漏洞可能导致FWSM 重载。仅在通过http server enable命令在FWSM上启用了HTTPS服务器的情况下才 会出现这个漏洞，该命令是默认禁用的。 这个漏洞在Cisco Bug ID中记录为CSCsf29974。 处理畸形SNMP请求可能导致重载 +------------------------------------------------------- 如果从可信任的设备接收了畸形SNMP消息的话，这个漏洞可能导致FWSM重载。必须 通过snmp-server host <interface name> <IP of trusted device>命令对可信任 设备允许明确的SNMP poll访问。 这个漏洞在Cisco Bug ID中记录为CSCse52679。

英文描述:

Cisco PIX 500 and ASA 5500 Series Security Appliances 6.x before 6.3(5.115), 7.0 before 7.0(5.2), and 7.1 before 7.1(2.5), and the FWSM 3.x before 3.1(3.24), when the "inspect sip" option is enabled, allows remote attackers to cause a denial of service (device reboot) via malformed SIP packets.

CWE类型:

标签:

中文解决方案:

英文解决方案:

临时解决方案: