科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道CiscoPIX多个远程拒绝服务攻击漏洞

CiscoPIX多个远程拒绝服务攻击漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Cisco PIX firewall是一款硬件防火墙设备。运行Cisco PIX firewall服务的设备存在两个漏洞,允许远程攻击者对防火墙进行拒绝服务攻击。

作者:51CTO.COM 2007年11月17日

关键字: 拒绝服务攻击 防火墙 漏洞 PIX

  • 评论
  • 分享微博
  • 分享邮件

信息提供:

 安全公告(或线索)提供热线:51cto.editor@gmail.com

漏洞类别:

 设计错误

攻击类型:

 拒绝服务攻击

发布日期:

 2003-12-15

更新日期:

 2003-12-22

受影响系统:

 Cisco PIX Firewall 6.3.1
Cisco PIX Firewall 6.3(3.102)
Cisco PIX Firewall 6.3(1)
Cisco PIX Firewall 6.3
Cisco PIX Firewall 6.2.2.111
Cisco PIX Firewall 6.2.2
Cisco PIX Firewall 6.2.1
Cisco PIX Firewall 6.2(2)
Cisco PIX Firewall 6.2
Cisco PIX Firewall 6.1.4
Cisco PIX Firewall 6.1.3
Cisco PIX Firewall 6.1(4)
Cisco PIX Firewall 6.1(2)
Cisco PIX Firewall 6.1
Cisco PIX Firewall 6.0.4
Cisco PIX Firewall 6.0.3
Cisco PIX Firewall 6.0(4)
Cisco PIX Firewall 6.0(2)
Cisco PIX Firewall 6.0(1)
Cisco PIX Firewall 6.0
Cisco PIX Firewall 5.3(2)
Cisco PIX Firewall 5.3(1.200)
Cisco PIX Firewall 5.3(1)
Cisco PIX Firewall 5.3
Cisco PIX Firewall 5.2(9)
Cisco PIX Firewall 5.2(7)
Cisco PIX Firewall 5.2(6)
Cisco PIX Firewall 5.2(5)
Cisco PIX Firewall 5.2(3.210)
Cisco PIX Firewall 5.2(2)
Cisco PIX Firewall 5.2
Cisco PIX Firewall 5.1.4
Cisco PIX Firewall 5.1(4.206)
Cisco PIX Firewall 5.1
Cisco PIX Firewall 5.0

安全系统:

Cisco PIX Firewall 6.3.2
Cisco PIX Firewall 6.2.3
Cisco PIX Firewall 6.1.5

漏洞报告人:

 Cisco Security Advisory

漏洞描述:

 BUGTRAQ  ID: 9221
Cisco PIX firewall是一款硬件防火墙设备。
运行Cisco PIX firewall服务的设备存在两个漏洞,允许远程攻击者对防火墙进行拒绝服务攻击。
CSCec20244/CSCea28896 (VPNC)漏洞:
如果另一个IPSec客户端尝试与Cisco PIX防火墙配置的VPN客户端外部接口初始化一个IKE Phase I协商时,在部分情况下,可使已经建立的VPNC IPSec通道连接断开。
只有当Cisco PIX防火墙配置为VPN客户端时存在此问题。
CSCeb20276 (SNMPv3)漏洞:
当Cisco PIX防火墙上配置snmp-server host <if_name> <ip_addr>或snmp-server host <if_name> <ip_addr> poll时,处理接收到的SNMPv3消息时可使CISCO PIX防火墙,产生拒绝服务。
只要当Cisco PIX防火墙上配置snmp-server host <if_name> <ip_addr> trap命令时才不受此漏洞影响。

测试方法:

解决方法:

 临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 限制只有可信主机才能轮询FWSM上的SNMP服务:
snmp-server host <if_name> <ip_addr> poll
也可按照如下方法关闭SNMP服务:
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
厂商补丁:
Cisco
-----
对于Cisco issue CSCeb20276问题,以下版本已经修正此问题:
Cisco Pix Firewall 6.3.2及之后版本, 6.2.3及之后版本, 6.1.5及之后版本。
而针对Cisco issues CSCec20244和CSCea28896漏洞,以下版本已经修正此问题:
6.3.1及之后版本, 6.2(3.100)及之后版本
建议用户通过Cisco software Center获得升级程序:
http://www.cisco.com/
要访问此下载URL,你必须是注册用户和必须登录后才能使用。
事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。
直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法:
* +1 800 553 2447 (北美地区免话费)
* +1 408 526 7209 (全球收费)
* e-mail: tac@cisco.com

查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息,包括特别局部的电话号码,各种语言的指南和EMAIL地址。
    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号