信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
漏洞类别: |
设计错误 |
攻击类型: |
拒绝服务攻击 |
发布日期: |
2003-12-15 |
更新日期: |
2003-12-22 |
受影响系统: |
Cisco PIX Firewall 6.3.1 Cisco PIX Firewall 6.3(3.102) Cisco PIX Firewall 6.3(1) Cisco PIX Firewall 6.3 Cisco PIX Firewall 6.2.2.111 Cisco PIX Firewall 6.2.2 Cisco PIX Firewall 6.2.1 Cisco PIX Firewall 6.2(2) Cisco PIX Firewall 6.2 Cisco PIX Firewall 6.1.4 Cisco PIX Firewall 6.1.3 Cisco PIX Firewall 6.1(4) Cisco PIX Firewall 6.1(2) Cisco PIX Firewall 6.1 Cisco PIX Firewall 6.0.4 Cisco PIX Firewall 6.0.3 Cisco PIX Firewall 6.0(4) Cisco PIX Firewall 6.0(2) Cisco PIX Firewall 6.0(1) Cisco PIX Firewall 6.0 Cisco PIX Firewall 5.3(2) Cisco PIX Firewall 5.3(1.200) Cisco PIX Firewall 5.3(1) Cisco PIX Firewall 5.3 Cisco PIX Firewall 5.2(9) Cisco PIX Firewall 5.2(7) Cisco PIX Firewall 5.2(6) Cisco PIX Firewall 5.2(5) Cisco PIX Firewall 5.2(3.210) Cisco PIX Firewall 5.2(2) Cisco PIX Firewall 5.2 Cisco PIX Firewall 5.1.4 Cisco PIX Firewall 5.1(4.206) Cisco PIX Firewall 5.1 Cisco PIX Firewall 5.0 |
安全系统: |
Cisco PIX Firewall 6.3.2 |
漏洞报告人: |
Cisco Security Advisory |
漏洞描述: |
BUGTRAQ ID: 9221 Cisco PIX firewall是一款硬件防火墙设备。 运行Cisco PIX firewall服务的设备存在两个漏洞,允许远程攻击者对防火墙进行拒绝服务攻击。 CSCec20244/CSCea28896 (VPNC)漏洞: 如果另一个IPSec客户端尝试与Cisco PIX防火墙配置的VPN客户端外部接口初始化一个IKE Phase I协商时,在部分情况下,可使已经建立的VPNC IPSec通道连接断开。 只有当Cisco PIX防火墙配置为VPN客户端时存在此问题。 CSCeb20276 (SNMPv3)漏洞: 当Cisco PIX防火墙上配置snmp-server host <if_name> <ip_addr>或snmp-server host <if_name> <ip_addr> poll时,处理接收到的SNMPv3消息时可使CISCO PIX防火墙,产生拒绝服务。 只要当Cisco PIX防火墙上配置snmp-server host <if_name> <ip_addr> trap命令时才不受此漏洞影响。 |
测试方法: |
无 |
解决方法: |
临时解决方法: 如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: * 限制只有可信主机才能轮询FWSM上的SNMP服务: snmp-server host <if_name> <ip_addr> poll 也可按照如下方法关闭SNMP服务: no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps 厂商补丁: Cisco ----- 对于Cisco issue CSCeb20276问题,以下版本已经修正此问题: Cisco Pix Firewall 6.3.2及之后版本, 6.2.3及之后版本, 6.1.5及之后版本。 而针对Cisco issues CSCec20244和CSCea28896漏洞,以下版本已经修正此问题: 6.3.1及之后版本, 6.2(3.100)及之后版本 建议用户通过Cisco software Center获得升级程序: http://www.cisco.com/ 要访问此下载URL,你必须是注册用户和必须登录后才能使用。 事先或目前与第三方支持组织,如Cisco合作伙伴、授权零售商或服务商之间已有协议,由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。 直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法: * +1 800 553 2447 (北美地区免话费) * +1 408 526 7209 (全球收费) * e-mail: tac@cisco.com 查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息,包括特别局部的电话号码,各种语言的指南和EMAIL地址。 |