发布日期：2007-10-17
更新日期：2007-10-18

受影响系统：
Cisco Firewall Services Module 3.2
Cisco Firewall Services Module 3.1
Cisco Firewall Services Module 2.3
不受影响系统：
Cisco Firewall Services Module 3.2(3)
Cisco Firewall Services Module 3.1(7)
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 26109

Cisco FWSM是Cisco设备上的防火墙服务模块。

如果处理了特制的HTTPS请求的话，启用了HTTPS服务器的FWSM可能会重载。HTTPS服务器默认是禁用的。

接收HTTPS请求的源IP地址和接口必须符合所配置的http <source IP> <address mask> <source interface>命令。例如，如果配置中存在http 10.10.10.0 255.255.255.0命令的话，则仅有来自10.10.10.0/24网络的特制HTTPS请求才会在设备上造成问题。这个漏洞在Cisco Bug ID中记录为CSCsi77844。

如果处理了特制的MGCP报文的话，启用了MGCP应用层协议检查功能的FWSM可能会重载。MGCP应用层协议检查不是默认启用的。

MGCP消息是通过用户数据报协议（UDP）传输的，这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP（UDP 2427端口上的MGCP通讯）才受影响。这个漏洞在Cisco Bug ID中记录为CSCsi00694。

可通过命令行接口或ASDM控制ACL，包括删除和重新添加ACE。如果以这种方式控制了访问列表，ACL的内部结构会被破坏，导致FWSM不会评估某些ACE。由于没有评估ACL中的ACE，ACL可能会允许正常情况下应拒绝的通讯，或拒绝正常情况下应允许的通讯。这个漏洞在Cisco Bug ID中记录为CSCsj52536。

<*来源：Cisco安全公告

链接：http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

* 在中间节点ACL（tACL）策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查：

FWSM(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
FWSM(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
FWSM(config)# class-map MGCP
FWSM(config-cmap)# match access-list mgcp_traffic
FWSM(config-cmap)# exit
FWSM(config)# policy-map global_policy
FWSM(config-pmap)# class inspection_default
FWSM(config-pmap-c)# no inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# class MGCP
FWSM(config-pmap-c)# inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# exit
FWSM(config)#

* 在修改之前完全删除ACL，然后使用预期的更改重新创建。可通过clear configure access-list <ACL name>命令删除ACL。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20071017-fwsm）以及相应补丁:
cisco-sa-20071017-fwsm：Multiple Vulnerabilities in Firewall Services Module
链接：http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml

补丁下载：
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2.

【绿盟授权51CTO.COM 独家报道，未经书面许可不得转载！】

【相关文章】

• 浏览更多漏洞补丁信息

　　推荐阅读

　　微软PDA应用程序存在信息泄露漏洞

发布日期：2007-10-15 更新日期：2007-10-17受影响系统： Microsoft ActiveSync 4.1 Microsoft Windows Mobile 5.0 不受影响系统： Microsoft Windows Mobile 6.0 描述： ---------------------------------->>>详细阅读

本文标题：Cisco防火墙服务模块远程拒绝服务及ACL破坏漏洞

地址：http://www.17bianji.com/anquan/buding/2451.html

 1/2    1