Cisco PIX/ASA和防火墙服务模块(FWSM)可提供能够进行状态报文过滤和深层报文检查的防火墙服务。 Cisco PIX 500系列安全设备和Cisco ASA 5500系列自适应安全设备中存在多个安全漏洞: 增强型检查畸形HTTP通讯 +----------------------------------------------- 如果启用了增强型HTTP检查的话,则在检查畸形HTTP请求时Cisco PIX和ASA安全设 备可能崩溃。如果启用了HTTP应用检查的话,配置中会包含有类似于inspect http <appfw> 的行,其中<appfw>是特定HTTP映射的名称。请注意正常的HTTP检查(通过inspect http 配置,没有HTTP映射)不受这个漏洞影响。 这个漏洞在Cisco Bug ID中记录为CSCsd75794。 检查畸形SIP报文 +------------------------------------- 检查畸形SIP报文可能导致Cisco PIX和ASA设备崩溃。如果要触发这个漏洞,必须 启用了SIP fixup(对于6.x软件)或inspect(对于7.x软件)功能。SIP fixup(在 6.x及更早版本)和SIP检查(在7.x及更早版本)是默认启用的。 这个漏洞在Cisco Bug ID中记录为CSCsd97077和CSCse27708。 检查畸形TCP报文流 +------------------------------------------------- Cisco PIX和ASA设备在处理基于TCP协议中畸形报文流时可能崩溃。必须通过inspect 功能处理协议。报文可能是发送给设备的,也可能仅是通过设备的。Cisco PIX和 ASA设备可检查以下基于TCP的协议: * 计算机电话接口快速缓冲区编码(CITQBE) * 分布式计算环境/远程过程调用(DCE/RPC) * 域名服务(DNS) * 扩展简单邮件传输协议(ESMTP) * 文件传输协议(FTP) * H.323协议 * 超文本传输协议(HTTP) * Internet定位服务器(ILS) * 即时消息(IM) * 点到点隧道协议(PPTP) * 远程Shell(RSH) * 实时流协议(RTSP) *...
Cisco PIX/ASA和防火墙服务模块(FWSM)可提供能够进行状态报文过滤和深层报文检查的防火墙服务。 Cisco PIX 500系列安全设备和Cisco ASA 5500系列自适应安全设备中存在多个安全漏洞: 增强型检查畸形HTTP通讯 +----------------------------------------------- 如果启用了增强型HTTP检查的话,则在检查畸形HTTP请求时Cisco PIX和ASA安全设 备可能崩溃。如果启用了HTTP应用检查的话,配置中会包含有类似于inspect http <appfw> 的行,其中<appfw>是特定HTTP映射的名称。请注意正常的HTTP检查(通过inspect http 配置,没有HTTP映射)不受这个漏洞影响。 这个漏洞在Cisco Bug ID中记录为CSCsd75794。 检查畸形SIP报文 +------------------------------------- 检查畸形SIP报文可能导致Cisco PIX和ASA设备崩溃。如果要触发这个漏洞,必须 启用了SIP fixup(对于6.x软件)或inspect(对于7.x软件)功能。SIP fixup(在 6.x及更早版本)和SIP检查(在7.x及更早版本)是默认启用的。 这个漏洞在Cisco Bug ID中记录为CSCsd97077和CSCse27708。 检查畸形TCP报文流 +------------------------------------------------- Cisco PIX和ASA设备在处理基于TCP协议中畸形报文流时可能崩溃。必须通过inspect 功能处理协议。报文可能是发送给设备的,也可能仅是通过设备的。Cisco PIX和 ASA设备可检查以下基于TCP的协议: * 计算机电话接口快速缓冲区编码(CITQBE) * 分布式计算环境/远程过程调用(DCE/RPC) * 域名服务(DNS) * 扩展简单邮件传输协议(ESMTP) * 文件传输协议(FTP) * H.323协议 * 超文本传输协议(HTTP) * Internet定位服务器(ILS) * 即时消息(IM) * 点到点隧道协议(PPTP) * 远程Shell(RSH) * 实时流协议(RTSP) * 会话初始协议(SIP) * 小型(或简单)客户端控制协议(SCCP) * 简单邮件传输协议(SMTP) * Oracle SQL*Net * Sun RPC 这个漏洞在Cisco Bug ID中记录为CSCsh12711。 此外,某些FWSM软件版本中存在多个漏洞,可能导致设备意外重载: 增强型检查畸形HTTP通讯可能导致重载 +---------------------------------------------------------------- 这个漏洞可能导致FWSM在执行增强型检查HTTP请求并检查了畸形HTTP请求时出现重 载。仅在配置中存在inspect http <appfw>命令(appfw是特定HTTP映射的名称) 时FWSM才会执行增强型检查HTTP通讯。这个命令默认下是禁用的。 这个漏洞在Cisco Bug ID中记录为CSCsd75794。 检查畸形SIP消息可能导致重载 +------------------------------------------------------- 如果通过传输控制协议(TCP)或用户数据报协议(UDP)接收到畸形SIP消息,并 且对于通过TCP的SIP使用fixup protocol sip <portnum>命令启用深度检查SIP消 息,和/或对于通过UDP的SIP,在FWSM 2.3.x及之前版本中通过fixup protocol sip udp <portnum> 命令,或在FWSM 3.x及之后版本中通过inspect sip命令启用深度 检查SIP消息,则漏洞可能导致FWSM重载。SIP fixup在2.x及之前版本中和SIP检查 在3.x及之后版本中都是默认启用的。 这个漏洞在Cisco Bug ID中记录为CSCsg80915。 处理发送给FWSM的报文可能导致重载 +------------------------------------------------------- 这个漏洞导致FWSM在试图生成710006系统日志消息时出现重载。必须满足以下两个 条件才会出现这个漏洞: * FWSM接收到了一个设备IP地址的报文且消息不是以下协议:TCP、UDP、ICMP、OSPF、 Failover、PIM、IGMP和ESP。漏洞与报文的来源无关。 * 必须在足够高的级别启用日志以生成710006系统日志消息,默认下是调试级别(7 级)。请注意日志是默认禁用的,Cisco建议仅出于调试和纠错目的在调试级别记 录日志。 这个漏洞在Cisco Bug ID中记录为CSCse85707。 处理畸形HTTPS请求可能导致重载 +------------------------------------------------------- 如果用户试图访问Web站点且网络管理员配置设备允许网络访问之前认证用户的话, 这个漏洞可能导致FWSM重载。这个功能被称为“认证网络访问”或认证代理,可通过 aaa authentication match或aaa authentication include命令启用。 重载实际上是由无效的正常Web浏览器无法生成的特殊HTTPS请求触发的。 这个漏洞在Cisco Bug ID中记录为CSCsg50228。 处理超长HTTP请求可能导致重载 +------------------------------------------------------- 如果管理员通过aaa authentication match或aaa authentication include命令启 用了“认证网络访问(auth-proxy)”的话,这个漏洞也可能导致FWSM重载。但是, 在这种情况下导致重载的HTTP请求是有效的,尽管从所请求URL非常长这个意义来 讲不是正常的请求。Web浏览器在正常的浏览期间可以生成这样的请求。 这个漏洞在Cisco Bug ID中记录为CSCsd91268。 处理HTTPS通讯可能导致重载 +------------------------------------------------------- 如果FWSM收到了发送给FWSM本身的特定类型HTTPS通讯的话,这个漏洞可能导致FWSM 重载。仅在通过http server enable命令在FWSM上启用了HTTPS服务器的情况下才 会出现这个漏洞,该命令是默认禁用的。 这个漏洞在Cisco Bug ID中记录为CSCsf29974。 处理畸形SNMP请求可能导致重载 +------------------------------------------------------- 如果从可信任的设备接收了畸形SNMP消息的话,这个漏洞可能导致FWSM重载。必须 通过snmp-server host <interface name> <IP of trusted device>命令对可信任 设备允许明确的SNMP poll访问。 这个漏洞在Cisco Bug ID中记录为CSCse52679。 Cisco PIX Firewall < 7.2(2.8) Cisco Firewall Services Module 3.x Cisco Firewall Services Module 2.3.x Cisco ASA < 7.2(2.8) 临时解决方法: 对于Cisco PIX/ASA设备: 增强型检查畸形HTTP通讯 +----------------------------------------------- 禁用HTTP应用检查(appfw)可以防范Cisco PIX和ASA设备免受本文所述漏洞的影 响。如果保持配置inspect http语句的话,则仍会保留对终端设备(如Cisco PIX 和ASA设备所保护的计算机)某些级别的保护,但由于这个检查级别更加细粒,因 此可能对终止HTTP会话的设备造成负面影响。报文可能导致终止HTTP会话的设备崩 溃或被入侵。 检查畸形SIP报文 +------------------------------------- 禁用SIP检查可以防范Cisco PIX和ASA设备免受本文所述漏洞的影响,但这可能对 终止SIP会话的设备造成负面影响。报文可能导致终止SIP会话的设备崩溃或被入侵。 如果运行的是7.x软件版本的话,备选方案是仅允许可信任主机的通讯。可通过如 下配置实现。 access-list sip-acl extended permit udp 10.1.1.0 255.255.255.0 host 192.168.5.4 eq sip access-list sip-acl extended permit udp host 192.168.5.4 10.1.1.0 255.255.255.0 eq sip class-map sip-traffic match access-list sip-acl ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect netbios inspect tftp class sip-traffic inspect sip ! service-policy global_policy global 在这个例子中,SIP端点是可信任网络10.1.1.0中的任意主机和可信任网络外IP地 址192.168.5.4。您可以使用您网络中的IP地址替换上述地址。 请注意SIP是基于UDP的协议,因此可能伪造SIP消息。 检查畸形TCP报文流 +------------------------------------------------- 临时解决方案是将最小TCP段大小(MSS)增加到64。可通过全局sysopt命令实现: sysopt connection tcpmss minimum 64 对于防火墙服务模块: 增强型检查畸形HTTP通讯可能导致重载 +---------------------------------------------------------------- 可通过禁用增强型检查HTTP通讯缓解这个漏洞。请注意禁用HTTP增强型检查可能导 致FWSM无法防护与HTTP通讯相关的特定攻击和其他威胁。可通过从配置中删除 inspect http <appfw>命令禁用增强型检查HTTP通讯,这里appfw是HTTP映射的名 称。 检查畸形SIP消息可能导致重载 +------------------------------------------------------- 可通过禁用SIP消息的深层报文检查(3.x之前版本的fixup或3.x及之后版本的inspect) 来缓解这个漏洞。在FWSM 2.x软件中需要同时使用no fixup protocol sip和 no fixup protocol sip udp命令终止对通过TCP和UDP传输SIP消息的深层报文检查。 在FWSM 3.x及之后版本中no inspect sip就可以终止对通过TCP和UDP传输SIP消息 的深层报文检查。但请注意这可能会对终止SIP会话的设备造成负面影响,因为不 会再对SIP通讯进行状态应用检查,终止这个协议会话的设备会受报文的影响,可 能导致这些设备崩溃或被入侵。 如果运行的是3.x的FWSM版本,则备选措施是仅允许可信任主机的通讯。如下实现 这个配置: access-list sip-acl extended permit udp 10.1.1.0 255.255.255.0 host 192.168.5.4 eq sip access-list sip-acl extended permit udp host 192.168.5.4 10.1.1.0 255.255.255.0 eq sip class-map sip-traffic match access-list sip-acl ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect netbios inspect tftp class sip-traffic inspect sip ! service-policy global_policy global 在这个例子中,SIP端点是可信任网络10.1.1.0中的任意主机和可信任网络外IP地 址192.168.5.4。您可以使用您网络中的IP地址替换上述地址。 请注意SIP是基于UDP的协议,因此可能伪造SIP消息。 处理发送给FWSM的报文可能导致重载 +------------------------------------------------------- 由于仅在生成710006系统日志消息时才会出现这个漏洞,因此可通过禁止生成710006 系统日志消息或在比生成消息低的系统日志级别生成日志来临时解决这个漏洞。 默认下710006系统日志消息是在7级(debugging)系统日志生成的,因此可行的临 时解决方案是在6级或更低级别记录日志,可通过logging <destination> 6命令来 实现。如果将710006系统日志消息移动到了不同的日志级别,则必须相应的更改所 使用的日志级别以防生成消息。 如果必须在debugging级生成日志,则还可通过no logging message 710006命令禁 用这个特定的系统日志消息来消除这个漏洞。 处理HTTPS通讯可能导致重载 +------------------------------------------------------- 由于这个漏洞是由于FWSM上的HTTPS服务器无法处理某些类型的HTTPS通讯所导致的, 因此如果不需要这个功能的话通过no http server enable命令禁用HTTPS服务器就 是个有效的临时解决方案。请注意ASDM使用这个功能,因此如果仅通过ASDM配置FWSM 的话禁用HTTPS服务器就不是有效的临时解决方案。 此外,还可以通过仅允许可信任IP地址或网络的HTTPS连接来限制漏洞的暴露,可 通过http命令来实现,如以下命令: FWSM(config)# http 192.168.1.10 255.255.255.255 inside 会仅允许从IP地址192.168.1.10的HTTPS连接。 处理畸形SNMP请求可能导致重载 +------------------------------------------------------- 仅有来自FWSM上允许SNMP访问的设备的畸形SNMP消息才可以触发这个漏洞。如果不 需要SNMP的话,使用no snmp-server host <interface name> <IP address of trusted device>命令删除可以消除这个漏洞。 厂商补丁: Cisco ----- Cisco已经为此发布了安全公告(cisco-sa-20070214-fwsm/cisco-sa-20070214-pix)以及相应补丁: cisco-sa-20070214-fwsm:Multiple Vulnerabilities in Firewall Services Module 链接:<a href="http://www.cisco.com/warp/public/707/cisco-sa-20070214-fwsm.shtml" target="_blank">http://www.cisco.com/warp/public/707/cisco-sa-20070214-fwsm.shtml</a> cisco-sa-20070214-pix:Multiple Vulnerabilities in Cisco PIX and ASA Appliances 链接:<a href="http://www.cisco.com/warp/public/707/cisco-sa-20070214-pix.shtml" target="_blank">http://www.cisco.com/warp/public/707/cisco-sa-20070214-pix.shtml</a>
