|
信息提供: |
安全公告(或線索)提供熱線:51cto.editor@gmail.com |
|
漏洞類別: |
設計錯誤 |
|
攻擊類型: |
拒絕服務攻擊 |
|
發布日期: |
2003-12-15 |
|
更新日期: |
2003-12-22 |
|
受影響系統: |
Cisco PIX Firewall 6.3.1 Cisco PIX Firewall 6.3(3.102) Cisco PIX Firewall 6.3(1) Cisco PIX Firewall 6.3 Cisco PIX Firewall 6.2.2.111 Cisco PIX Firewall 6.2.2 Cisco PIX Firewall 6.2.1 Cisco PIX Firewall 6.2(2) Cisco PIX Firewall 6.2 Cisco PIX Firewall 6.1.4 Cisco PIX Firewall 6.1.3 Cisco PIX Firewall 6.1(4) Cisco PIX Firewall 6.1(2) Cisco PIX Firewall 6.1 Cisco PIX Firewall 6.0.4 Cisco PIX Firewall 6.0.3 Cisco PIX Firewall 6.0(4) Cisco PIX Firewall 6.0(2) Cisco PIX Firewall 6.0(1) Cisco PIX Firewall 6.0 Cisco PIX Firewall 5.3(2) Cisco PIX Firewall 5.3(1.200) Cisco PIX Firewall 5.3(1) Cisco PIX Firewall 5.3 Cisco PIX Firewall 5.2(9) Cisco PIX Firewall 5.2(7) Cisco PIX Firewall 5.2(6) Cisco PIX Firewall 5.2(5) Cisco PIX Firewall 5.2(3.210) Cisco PIX Firewall 5.2(2) Cisco PIX Firewall 5.2 Cisco PIX Firewall 5.1.4 Cisco PIX Firewall 5.1(4.206) Cisco PIX Firewall 5.1 Cisco PIX Firewall 5.0 |
|
安全系統: |
Cisco PIX Firewall 6.3.2 |
|
漏洞報告人: |
Cisco Security Advisory |
|
漏洞描述: |
BUGTRAQ ID: 9221 Cisco PIX firewall是一款硬件防火墻設備。 運行Cisco PIX firewall服務的設備存在兩個漏洞,允許遠程攻擊者對防火墻進行拒絕服務攻擊。 CSCec20244/CSCea28896 (VPNC)漏洞: 如果另一個IPSec客戶端嘗試與Cisco PIX防火墻配置的VPN客戶端外部接口初始化一個IKE Phase I協商時,在部分情況下,可使已經建立的VPNC IPSec通道連接斷開。 只有當Cisco PIX防火墻配置為VPN客戶端時存在此問題。 CSCeb20276 (SNMPv3)漏洞: 當Cisco PIX防火墻上配置snmp-server host <if_name> <ip_addr>或snmp-server host <if_name> <ip_addr> poll時,處理接收到的SNMPv3消息時可使CISCO PIX防火墻,產生拒絕服務。 只要當Cisco PIX防火墻上配置snmp-server host <if_name> <ip_addr> trap命令時才不受此漏洞影響。 |
|
測試方法: |
無 |
|
解決方法: |
臨時解決方法: 如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅: * 限制只有可信主機才能輪詢FWSM上的SNMP服務: snmp-server host <if_name> <ip_addr> poll 也可按照如下方法關閉SNMP服務: no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps 廠商補丁: Cisco ----- 對于Cisco issue CSCeb20276問題,以下版本已經修正此問題: Cisco Pix Firewall 6.3.2及之后版本, 6.2.3及之后版本, 6.1.5及之后版本。 而針對Cisco issues CSCec20244和CSCea28896漏洞,以下版本已經修正此問題: 6.3.1及之后版本, 6.2(3.100)及之后版本 建議用戶通過Cisco software Center獲得升級程序: http://www.cisco.com/ 要訪問此下載URL,你必須是注冊用戶和必須登錄后才能使用。 事先或目前與第三方支持組織,如Cisco合作伙伴、授權零售商或服務商之間已有協議,由第三方組織提供Cisco產品或技術支持的用戶可免費獲得升級支持。 直接從Cisco購買產品但沒有Cisco服務合同的用戶和由第三方廠商購買產品但無法從銷售方獲得已修復軟件的用戶可從Cisco技術支持中心(TAC)獲取升級軟件。TAC聯系方法: * +1 800 553 2447 (北美地區免話費) * +1 408 526 7209 (全球收費) * e-mail: tac@cisco.com 查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 獲取額外的TAC聯系信息,包括特別局部的電話號碼,各種語言的指南和EMAIL地址。 |
