安全研究
安全漏洞
Cisco IOS入侵保护系统多个安全漏洞
发布日期:2007-02-14
更新日期:2007-03-08
受影响系统:
Cisco IOS 12.4描述:
Cisco IOS 12.3
BUGTRAQ ID: 22549
CVE(CAN) ID: CVE-2007-0917,CVE-2007-0918
Cisco IOS是Cisco网络设备所使用的操作系统,Cisco IOS入侵保护系统(IPS)是内嵌的深度报文检查功能,允许Cisco IOS软件缓解网络攻击。
IOS IPS功能中存在几个漏洞,仅有包含有IPS功能的IOS镜像才受这些漏洞的影响。
碎片报文逃避检测漏洞
+--------------------------------------
一些IPS特征使用正则表达式。由于一个漏洞,攻击者可以以IP碎片的形式发送恶
意网络通讯绕过这些IPS特征。这可能导致恶意的通讯绕过特征检查,攻击受保护
的系统。没有使用正则表达式的IPS特征不受这个漏洞影响。所有的IP协议(如TCP、
UDP、ICMP)都受这个漏洞影响。这个漏洞在Cisco Bug ID中记录为CSCsg15598。
ATOMIC.TCP正则表达式拒绝服务漏洞
+------------------------------------------------------------
某些网络通讯可能触发使用ATOMIC.TCP特征引擎的正则表达式功能的IPS特征,导
致拒绝服务,中断网络通讯。3123.0特征(Netbus Pro Traffic)可以触发这个漏
洞。这个漏洞在Cisco Bug ID中记录为CSCsa53334。
<*来源:Cisco安全公告
链接:http://secunia.com/advisories/24142/
http://www.cisco.com/warp/public/707/cisco-sa-20070213-iosips.shtml
*>
建议:
临时解决方法:
碎片报文逃避检测漏洞
+--------------------------------------
可使用IOS中间节点访问控制列表(ACL)的fragments关键字防止碎片IP报文通过IOS设备。
阻断IP碎片可能负面的影响某些协议,如HTTP、FTP和Kerberos/Active Directory,
因此请小心使用这个临时解决方案。
access-list 100 deny tcp any 10.1.1.0 0.0.0.255 fragments
access-list 100 deny udp any 10.1.1.0 0.0.0.255 fragments
ATOMIC.TCP正则表达式拒绝服务漏洞
+------------------------------------------------------------
可通过从IOS IPS特征定义文件(SDF)中删除IPS 3123.0规则临时解决ATOMIC.TCP
正则表达式拒绝服务漏洞。禁用3123.0特征本身还无法使临时解决方案生效,以下
命令会从IOS IPS设备中删除3123.0特征。
router#configure terminal
router(config)#ip ips signature 3123 delete
%IPS Signature 3123:0 is marked for deletion
%IPS The signature will be deleted when signatures are reloaded or saved
router(config)#interface FastEthernet0/0
router(config)#no ip ips test in
router(config)#ip ips test in
router(config)#exit
在上面的例子中,首先从特征定义文件中删除了3123.0特征,然后停止并启动了运
行在FastEthernet0/0接口上的IPS例程,以重新初始化IPS状态反映出删除了特征。
如果在多个接口上配置了IPS功能,就必须对每个受影响的接口完成这些步骤。
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20070213-iosips)以及相应补丁:
cisco-sa-20070213-iosips:Multiple IOS IPS Vulnerabilities
链接:http://www.cisco.com/warp/public/707/cisco-sa-20070213-iosips.shtml
浏览次数:4168
严重程度:0(网友投票)
绿盟科技给您安全的保障