Érintett rendszerek
Adaptive Security Appliance (ASA)CISCO
Private Internet Exchange (PIX)
Érintett verziók
CISCO Private Internet Exchange (PIX) 7.x, 8.x
CISCO Adaptive Security Appliance (ASA) 7.x, 8.x
Összefoglaló
A Cisco ASA és PIX eszközök több sérülékenysége vált ismertté. A sérülékenységek megteremthetik a szolgáltatás megtagadás (DoS) feltételeit és lehetővé teszik, hogy a támadó megkerülje a hozzáférés ellenőrzését (control-plane access control list – ACL).
Leírás
A Cisco ASA 5500 Series Adaptive Security Appliances és Cisco PIX Security Appliances többféle sérülékenysége vált ismertté. A sérülékenységek megteremthetik a szolgáltatás megtagadás (DoS) feltételeit és lehetővé teszik, hogy a támadó megkerülje a hozzáférés ellenőrzését (control-plane access control list – ACL) .
-
Egy speciálisan elkészített TCP ACK csomag a Cisco ASA vagy Cisco PIX biztonsági eszközökön szolgáltatás megtagadást okozhat . Ezt csak az eszköznek címzett csomagok válthatják ki (az eszközön átmenőek nem).
A sérülékenység a 7.1.x, 7.2.x és 8.0.x verziókat érinti. -
A Cisco PIX és Cisco ASA biztonsági eszközök számos esetben a TLS protokollra támaszkodnak a bizalmas kommunikáció védelmének érdekében. Ezekben az esetekben a TLS protokoll kezelésének hibája az ASA és PIX eszköz újra betöltését eredményezheti speciálisan elkészített TLS csomagok feldolgozásakor.
A sérülékenység a 8.0.x és 8.1.x verziókat érinti. -
A Cisco ASA és Cisco PIX Instant Messenger (IM) ellenőrző motorját használják az azonnali üzenetküldő programok részletes ellenőrzésére a hálózaton. Ha az Instant Messaging Inspection engedélyezve van egy hibát kihasználva szolgáltatás megtagadást lehet okozni.
A sérülékenység a 7.2.x, 8.0.x és 8.1.x verziókat érinti. -
A Cisco ASA a Cisco PIX biztonsági eszközökön szolgáltatás megtagadást lehet okozni, ha egy sérülékenység scan a TCP 443 portot tapogatja le. Egyes sérülékenység (port) scannerek hatására a rendszer újra betöltődhet.
A sérülékenység a 7.2.x, és 8.0.x verziókat érinti. -
A hozzáférés ellenőrzés (control-plane ACL-ek) feladata a biztonsági eszközre irányuló forgalom védelme. A Cisco ASA és Cisco PIX biztonsági eszközök egy sérülékenységének hatására a hozzáférés ellenőrzés nem működik a kezdeti beállítása után.
A sérülékenység a 8.0.x verziót érinti.
Az első négy sérülékenység sikeres kiaknázása az érintett eszköz újra betöltődését eredményezheti. Az ismétlődő kiaknázások tartós szolgáltatás megtagadást (DoS) eredményezhetnek.
Az ötödik sérülékenység sikeres kiaknázása lehetővé teszi, hogy a támadó megkerülje a hozzáférés ellenőrzését és káros forgalmat küldjön az érintett eszközre.
Megjegyzés: Ezek a sérülékenységek függetlenek egymástól. Lehet, hogy egy eszközt az egyik sérülékenység érint, míg egy másik nem.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-2055 - NVD CVE-2008-2055
CVE-2008-2056 - NVD CVE-2008-2056
SECUNIA 30552
Gyártói referencia: www.cisco.com
CVE-2008-2057 - NVD CVE-2008-2057
CVE-2008-2058 - NVD CVE-2008-2058
CVE-2008-2059 - NVD CVE-2008-2059
Gyártói referencia: www.cisco.com