微点交流论坛 - 电脑&数码 - Cisco PIX多个远程拒绝服务攻击漏洞

微点交流论坛 » 电脑&数码 » Cisco PIX多个远程拒绝服务攻击漏洞

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#1 Cisco PIX多个远程拒绝服务攻击漏洞

设计错误##拒绝服务攻击##及时修补

　　信息提供：安全公告(或线索)提供热线：51cto.editor@gmail.com

　　漏洞类别：设计错误

　　攻击类型：拒绝服务攻击

　　发布日期：2003-12-15

　　更新日期：2003-12-22

　　受影响系统：Cisco PIX Firewall 6.3.1

　　Cisco PIX Firewall 6.3(3.102)

　　Cisco PIX Firewall 6.3(1)

　　Cisco PIX Firewall 6.3

　　Cisco PIX Firewall 6.2.2.111

　　Cisco PIX Firewall 6.2.2

　　Cisco PIX Firewall 6.2.1

　　Cisco PIX Firewall 6.2(2)

　　Cisco PIX Firewall 6.2

　　Cisco PIX Firewall 6.1.4

　　Cisco PIX Firewall 6.1.3

　　Cisco PIX Firewall 6.1(4)

　　Cisco PIX Firewall 6.1(2)

　　Cisco PIX Firewall 6.1

　　Cisco PIX Firewall 6.0.4

　　Cisco PIX Firewall 6.0.3

　　Cisco PIX Firewall 6.0(4)

　　Cisco PIX Firewall 6.0(2)

　　Cisco PIX Firewall 6.0(1)

　　Cisco PIX Firewall 6.0

　　Cisco PIX Firewall 5.3(2)

　　Cisco PIX Firewall 5.3(1.200)

　　Cisco PIX Firewall 5.3(1)

　　Cisco PIX Firewall 5.3

　　Cisco PIX Firewall 5.2(9)

　　Cisco PIX Firewall 5.2(7)

　　Cisco PIX Firewall 5.2(6)

　　Cisco PIX Firewall 5.2(5)

　　Cisco PIX Firewall 5.2(3.210)

　　Cisco PIX Firewall 5.2(2)

　　Cisco PIX Firewall 5.2

　　Cisco PIX Firewall 5.1.4

　　Cisco PIX Firewall 5.1(4.206)

　　Cisco PIX Firewall 5.1

　　Cisco PIX Firewall 5.0

　　安全系统：Cisco PIX Firewall 6.3.2

　　Cisco PIX Firewall 6.2.3

　　Cisco PIX Firewall 6.1.5

　　漏洞报告人：Cisco Security Advisory

　　漏洞描述：BUGTRAQ ID: 9221

　　Cisco PIX firewall是一款硬件防火墙设备。

　　运行Cisco PIX firewall服务的设备存在两个漏洞，允许远程攻击者对防火墙进行拒绝服务攻击。

　　CSCec20244/CSCea28896 (VPNC)漏洞：

　　如果另一个IPSec客户端尝试与Cisco PIX防火墙配置的VPN客户端外部接口初始化一个IKEPhaseI协商时，在部分情况下，可使已经建立的VPNC IPSec通道连接断开。

　　只有当Cisco PIX防火墙配置为VPN客户端时存在此问题。

　　CSCeb20276 (SNMPv3)漏洞：

　　当Cisco PIX防火墙上配置snmp-server host 或snmp-serverhostpoll时，处理接收到的SNMPv3消息时可使CISCO PIX防火墙，产生拒绝服务。

　　只要当Cisco PIX防火墙上配置snmp-server host trap命令时才不受此漏洞影响。

　　测试方法：无

　　解决方法：临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　* 限制只有可信主机才能轮询FWSM上的SNMP服务：

　　snmp-server host poll

　　也可按照如下方法关闭SNMP服务：

　　no snmp-server location

　　no snmp-server contact

　　snmp-server community public

　　no snmp-server enable traps

　　厂商补丁：

　　Cisco

　　-

　　对于Cisco issue CSCeb20276问题，以下版本已经修正此问题：

　　Cisco Pix Firewall 6.3.2及之后版本, 6.2.3及之后版本, 6.1.5及之后版本。

　　而针对Cisco issues CSCec20244和CSCea28896漏洞，以下版本已经修正此问题：

　　6.3.1及之后版本, 6.2(3.100)及之后版本

　　建议用户通过Cisco software Center获得升级程序：

　　http://www.cisco.com/

　　要访问此下载URL，你必须是注册用户和必须登录后才能使用。

　　事先或目前与第三方支持组织，如Cisco合作伙伴、授权零售商或服务商之间已有协议，由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。

　　直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法：

　　* +1 800 553 2447 (北美地区免话费)

　　* +1 408 526 7209 (全球收费)

　　* e-mail: tac@cisco.com

　　查看http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml获取额外的TAC联系信息，包括特别局部的电话号码，各种语言的指南和EMAIL地址。

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-21 20:22

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#2

Cisco PIX 535防火墙

Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。

　　Cisco SecurePIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的CiscoSecurePIX防火墙系列的组成部分，PIX535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。

PIX535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行50万个同时连接，并同时防止常见的拒绝服务(DoS)攻击。

　　另外，PIX535还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持，能够提供100Mbps的吞吐量和2000个IPSec隧道。

　　高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX535还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-21 20:23

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号