Cisco安全公告:Cisco防火墙新增2个安全缺陷 (Hardware,补丁)
涉及程序:
Catalyst 6500系列与Cisco 7600
描述:
Cisco安全公告:Cisco防火墙新增2个安全缺陷
详细:
CSCeb16356 (HTTP Auth)
当思科FWSM使用TACACS+或者是RADIUS来处理有关HTTP认证方面的通信要求时,FWSM能触发缓冲溢出缺陷导致服务器当机并且重启。当用户通过FTP、Telnet或者是在WWW(http服务)输入用户名字与密码,将形成连结要求。如果用户名称与密码是靠TACACS+或RADIUS认证服务器执行验证,思科FWSM将允许认证服务器与用户之间直接建立通信连结,以致影响到Cisco FWSM的“cut-through proxy”特点。攻击者利用该缺陷能导致DoS攻击。CSCeb88419 (SNMPv3)
思科FWSM在处理接收到的SNMPv3讯息时,假如该设备有设定执行snmp-server host指令,那么该设备可能会当机并重启。在不支持SNMPv3的FWSM设备上也可能存在该缺陷。当Cisco FWSM设定成VPN Client模式与VPN服务器联机,在session建立时,攻击者利用该缺陷能导致DoS攻击。
受影响的版本:
CSCeb16356 (HTTP Auth) 1.1.2 及更早期版本
CSCeb88419 (SNMPv3) 1.1.2 及更早期版本
攻击方法:
暂无有效攻击代码
解决方案:
CSCeb20276 (SNMPv3) 6.3.2及后来的版本, 6.2.3及后来的版本, 6.1.5 及后来的版本和CSCec20244/CSCea28896 (VPNC) 6.3.1 及来的版本, 6.2(3.100) 后来的版本修正了该缺陷,请用户及时进行升级:
http://www.cisco.com
临时解决方法:
CSCeb88419 (SNMPv3)
1、假如SNMP询问是在受影响的PIX 防火墙上发生的,用户可通过受信任连结接口及受信任对方主机的方式来严格限制SNMP服务器对PIX防火墙询问的存取:
snmp-server host poll
Note:?/B> Both Poll and Trap are enabled if one does not specifically use the poll or trap keyword in the command above. The above command cannot prevent a source IP spoofed SNMP request message from exploiting this vulnerability.
2、关闭思科PIX防火墙上的SNMP服务器:
clear snmp-server
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
Note:?/B> The Cisco PIX firewall does not allow one to remove the community string altogether. It will always be either public or a user configured string. show snmp will still show snmp-server community public, but this does not mean SNMP is enabled.
详细情况请参考下列链接:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_62/cmdref/s.htm#1026423
附加信息:
无
推荐
评论(0条)
