首页 -> 安全研究

安全研究

绿盟月刊
绿盟安全月刊->第39期->最新漏洞
期刊号: 类型: 关键词:
多家厂商会话初始化协议漏洞

日期:2003-03-03

发布日期:2003-02-21
更新日期:2003-02-27

受影响系统:
Cisco IOS 12.2XW
Cisco IOS 12.2XT
Cisco IOS 12.2XS
Cisco IOS 12.2XR
Cisco IOS 12.2XQ
Cisco IOS 12.2XK
Cisco IOS 12.2XJ
Cisco IOS 12.2XI
Cisco IOS 12.2XH
Cisco IOS 12.2XG
Cisco IOS 12.2XF
Cisco IOS 12.2XE
Cisco IOS 12.2XD
Cisco IOS 12.2XC
Cisco IOS 12.2XB
Cisco IOS 12.2XA
Cisco IOS 12.2T
Cisco IOS 12.2 (2)XU2
Cisco IOS 12.2 (2)XU
Cisco IOS 12.2 (2)XT3
Cisco IOS 12.2 (2)XT
Cisco IOS 12.2 (2)XN
Cisco IOS 12.2 (2)XK2
Cisco IOS 12.2 (2)XK
Cisco IOS 12.2 (2)XJ1
Cisco IOS 12.2 (2)XJ
Cisco IOS 12.2 (2)XI2
Cisco IOS 12.2 (2)XI1
Cisco IOS 12.2 (2)XI
Cisco IOS 12.2 (2)XH3
Cisco IOS 12.2 (2)XH2
Cisco IOS 12.2 (2)XH
Cisco IOS 12.2 (2)XG
Cisco IOS 12.2 (2)XF
Cisco IOS 12.2 (2)XB4
Cisco IOS 12.2 (2)XB3
Cisco IOS 12.2 (2)XB
Cisco IOS 12.2 (2)XA5
Cisco IOS 12.2 (2)XA1
Cisco IOS 12.2 (2)XA
Cisco IOS 12.2 (2)T4
Cisco IOS 12.2 (11)T
Cisco IOS 12.2 (1)XS1
Cisco IOS 12.2 (1)XS
Cisco IOS 12.2 (1)XQ
Cisco IOS 12.2 (1)XH
Cisco IOS 12.2 (1)XE3
Cisco IOS 12.2 (1)XE2
Cisco IOS 12.2 (1)XE
Cisco IOS 12.2 (1)XD4
Cisco IOS 12.2 (1)XD3
Cisco IOS 12.2 (1)XD
Cisco IOS 12.2 (1)XA
Cisco PIX Firewall 6.2.1
Cisco PIX Firewall 6.1(2)
Cisco PIX Firewall 6.0(2)
Cisco PIX Firewall 6.0(1)
Cisco PIX Firewall 6.0
Cisco PIX Firewall 5.3(2)
Cisco PIX Firewall 5.3(1.200)
Cisco PIX Firewall 5.3(1)
Cisco PIX Firewall 5.3
Cisco PIX Firewall 5.2(7)
Cisco PIX Firewall 5.2(6)
Cisco PIX Firewall 5.2(5)
Cisco PIX Firewall 5.2(3.210)
Cisco PIX Firewall 5.2(2)
Cisco PIX Firewall 5.2
IPTel SIP Express Router 0.8.9
IPTel SIP Express Router 0.8.8
Nortel Networks Succession Communication Server 2000 - Compact
Nortel Networks Succession Communication Server 2000
不受影响系统:
Cisco IOS 12.2 (13)T1
Cisco IOS 12.2 (11)T3
Cisco PIX Firewall 6.2(2)
Cisco PIX Firewall 6.1(4)
Cisco PIX Firewall 6.0(4)
Cisco PIX Firewall 5.2(9)
IPTel SIP Express Router 0.8.10
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 6904

SIP(会话初始化协议)的开发目的是用来帮助提供跨越因特网的高级电话业务。SIP是IETF标准进程的一部分,它是在诸如SMTP(简单邮件传送协议)和HTTP(超文本传送协议)基础之上建立起来的。它用来建立,改变和终止基于IP网络的用户间的呼叫。

SIP实现存在多个漏洞,远程攻击者可以利用这些漏洞对设备进行拒绝服务,未授权访问等攻击。

Oulu University Secure Programming Group在研究SIP协议实现时,发现在INVITE(邀请用户加入呼叫)消息处理上存在多个漏洞,INVITE消息用于SIP末端进行初始化呼叫设置。

这些漏洞包括缓冲区溢出和不正确处理包含非法头的请求消息,可导致运行此协议的设备产生缓冲区溢出,导致拒绝服务,也可能造成未授权访问或远程执行任意指令。

CISCO IP电话模块7940和7960存在这些漏洞,可导致拒绝服务,这些漏洞在Cisco Bug IDs CSCdz26317, CSCdz29003, CSCdz29033, 和CSCdz29041已经有文档描述。

运行Cisco IOS 12.2T train或任何12.2 'X' train的版本会由于不正确处理包含非法头的SIP协议而复位。这些漏洞在Cisco Bug IDs CSCdz39284和CSCdz41124已经有文档描述。运行有此漏洞的IOS版本和配置成SIP网关的设备会导致CSCdz39284产生的漏洞。不过任何运行有此漏洞的IOS版本并且配置成NAT模式,SIP使用UDP进行传送时会导致CSCdz41124所描述的漏洞。

Cisco PIX防火墙当接收到碎片SIP INVITE消息时会复位。由于目前的SIP 补丁不支持碎片SIP消息,目前通过丢弃SIP碎片来暂时修补Cisco Bug ID CSCdx47789所描述的漏洞。

<*来源:Oulu University Secure Programming Group
  
  链接:http://www.cert.org/advisories/CA-2003-06.html
        http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 关闭基于SIP的设备和服务。

* 由于SIP请求可以通过UDP传输,所以存在广播攻击,用户可以通过路由器上设置阻挡SIP的广播请求。

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(Cisco-cisco-sa)以及相应补丁:
Cisco-cisco-sa:Multiple Product Vulnerabilities found by PROTOS SIP Test Suite
链接:http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml

CISCO用户可以联系供应商获得补丁,或者通过Software中心下载补丁:

http://www.cisco.com/tacpage/sw-center/.

Nortel Networks
---------------
Nortel Networks用户建议联系供应商获得详细信息:

North America: 1-800-4-NORTEL, or (1-800-466-7835)
Europe, Middle East & Africa: 00800 8008 9009, or +44 (0) 870 907 9009

http://www.nortelnetworks.com/help/contact/global/

IPTel
-----
IPTel的SIP Express Router 0.8.10存在此漏洞,建议用户升级和采用所有补丁:

http://www.iptel.org/ser/security/
版权所有,未经许可,不得转载