Cisco防火墙服务远程拒绝服务及ACL破坏漏洞

发布日期：2007-10-17

更新日期：2007-10-18

受影响系统：

Cisco Firewall Services Module 3.2

Cisco Firewall Services Module 3.1

Cisco Firewall Services Module 2.3

不受影响系统：

Cisco Firewall Services Module 3.2(3)

Cisco Firewall Services Module 3.1(7)

描述：

BUGTRAQ ID: 26109

Cisco FWSM是Cisco设备上的防火墙服务模块。

如果处理了特制的HTTPS请求的话，启用了HTTPS服务器的FWSM可能会重载。HTTPS服务器默认是禁用的。

接收HTTPS请求的源IP地址和接口必须符合所配置的http

命令。例如，如果配置中存在http 10.10.10.0 255.255.255.0命令的话，则仅有来自10.10.10.0/24网络的特制HTTPS请求才会在设备上造成问题。这个漏洞在Cisco Bug ID中记录为CSCsi77844。

如果处理了特制的MGCP报文的话，启用了MGCP应用层协议检查功能的FWSM可能会重载。MGCP应用层协议检查不是默认启用的。

MGCP消息是通过用户数据报协议（UDP）传输的，这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP（UDP 2427端口上的MGCP通讯）才受影响。这个漏洞在Cisco Bug ID中记录为CSCsi00694。

可通过命令行接口或ASDM控制ACL，包括删除和重新添加ACE。如果以这种方式控制了访问列表，ACL的内部结构会被破坏，导致FWSM不会评估某些ACE。由于没有评估ACL中的ACE，ACL可能会允许正常情况下应拒绝的通讯，或拒绝正常情况下应允许的通讯。这个漏洞在Cisco Bug ID中记录为CSCsj52536。

Cisco已经为此发布了一个安全公告（cisco-sa-20071017-fwsm）以及相应补丁:

cisco-sa-20071017-fwsm：Multiple Vulnerabilities in Firewall Services Module

链接：http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml

补丁下载：

http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2.