Cisco PIX Firewall < 7.2(2.8)不受影响系统:
Cisco Firewall Services Module 3.x
Cisco Firewall Services Module 2.3.x
Cisco ASA < 7.2(2.8)
Cisco PIX Firewall 7.2(2.10)描述:
Cisco Firewall Services Module 3.1(4)
Cisco Firewall Services Module 2.3(4.12)
Cisco ASA 7.2(2.10)
BUGTRAQ ID: 22561
CVE(CAN) ID: CVE-2007-0959,CVE-2007-0961,CVE-2007-0962,CVE-2007-0963,CVE-2007-0964,CVE-2007-0965,CVE-2007-0966,CVE-2007-0967,CVE-2007-0968
Cisco PIX/ASA和防火墙服务模块(FWSM)可提供能够进行状态报文过滤和深层报文检查的防火墙服务。
Cisco PIX 500系列安全设备和Cisco ASA 5500系列自适应安全设备中存在多个安全漏洞:
增强型检查畸形HTTP通讯
+-----------------------------------------------
如果启用了增强型HTTP检查的话,则在检查畸形HTTP请求时Cisco PIX和ASA安全设
备可能崩溃。如果启用了HTTP应用检查的话,配置中会包含有类似于inspect http <appfw>
的行,其中<appfw>是特定HTTP映射的名称。请注意正常的HTTP检查(通过inspect http
配置,没有HTTP映射)不受这个漏洞影响。
这个漏洞在Cisco Bug ID中记录为CSCsd75794。
检查畸形SIP报文
+-------------------------------------
检查畸形SIP报文可能导致Cisco PIX和ASA设备崩溃。如果要触发这个漏洞,必须
启用了SIP fixup(对于6.x软件)或inspect(对于7.x软件)功能。SIP fixup(在
6.x及更早版本)和SIP检查(在7.x及更早版本)是默认启用的。
这个漏洞在Cisco Bug ID中记录为CSCsd97077和CSCse27708。
检查畸形TCP报文流
+-------------------------------------------------
Cisco PIX和ASA设备在处理基于TCP协议中畸形报文流时可能崩溃。必须通过inspect
功能处理协议。报文可能是发送给设备的,也可能仅是通过设备的。Cisco PIX和
ASA设备可检查以下基于TCP的协议:
* 计算机电话接口快速缓冲区编码(CITQBE)
* 分布式计算环境/远程过程调用(DCE/RPC)
* 域名服务(DNS)
* 扩展简单邮件传输协议(ESMTP)
* 文件传输协议(FTP)
* H.323协议
* 超文本传输协议(HTTP)
* Internet定位服务器(ILS)
* 即时消息(IM)
* 点到点隧道协议(PPTP)
* 远程Shell(RSH)
* 实时流协议(RTSP)
* 会话初始协议(SIP)
* 小型(或简单)客户端控制协议(SCCP)
* 简单邮件传输协议(SMTP)
* Oracle SQL*Net
* Sun RPC
这个漏洞在Cisco Bug ID中记录为CSCsh12711。
此外,某些FWSM软件版本中存在多个漏洞,可能导致设备意外重载:
增强型检查畸形HTTP通讯可能导致重载
+----------------------------------------------------------------
这个漏洞可能导致FWSM在执行增强型检查HTTP请求并检查了畸形HTTP请求时出现重
载。仅在配置中存在inspect http <appfw>命令(appfw是特定HTTP映射的名称)
时FWSM才会执行增强型检查HTTP通讯。这个命令默认下是禁用的。
这个漏洞在Cisco Bug ID中记录为CSCsd75794。
检查畸形SIP消息可能导致重载
+-------------------------------------------------------
如果通过传输控制协议(TCP)或用户数据报协议(UDP)接收到畸形SIP消息,并
且对于通过TCP的SIP使用fixup protocol sip <portnum>命令启用深度检查SIP消
息,和/或对于通过UDP的SIP,在FWSM 2.3.x及之前版本中通过fixup protocol sip
udp <portnum> 命令,或在FWSM 3.x及之后版本中通过inspect sip命令启用深度
检查SIP消息,则漏洞可能导致FWSM重载。SIP fixup在2.x及之前版本中和SIP检查
在3.x及之后版本中都是默认启用的。
这个漏洞在Cisco Bug ID中记录为CSCsg80915。
处理发送给FWSM的报文可能导致重载
+-------------------------------------------------------
这个漏洞导致FWSM在试图生成710006系统日志消息时出现重载。必须满足以下两个
条件才会出现这个漏洞:
* FWSM接收到了一个设备IP地址的报文且消息不是以下协议:TCP、UDP、ICMP、OSPF、
Failover、PIM、IGMP和ESP。漏洞与报文的来源无关。
* 必须在足够高的级别启用日志以生成710006系统日志消息,默认下是调试级别(7
级)。请注意日志是默认禁用的,Cisco建议仅出于调试和纠错目的在调试级别记
录日志。
这个漏洞在Cisco Bug ID中记录为CSCse85707。
处理畸形HTTPS请求可能导致重载
+-------------------------------------------------------
如果用户试图访问Web站点且网络管理员配置设备允许网络访问之前认证用户的话,
这个漏洞可能导致FWSM重载。这个功能被称为“认证网络访问”或认证代理,可通过
aaa authentication match或aaa authentication include命令启用。
重载实际上是由无效的正常Web浏览器无法生成的特殊HTTPS请求触发的。
