发布日期：2007-12-05
更新日期：2007-12-06

受影响系统：

Cisco Security Agent for Windows 5.2
Cisco Security Agent for Windows 5.1
Cisco Security Agent for Windows 5.0
Cisco Security Agent for Windows 4.5.1

不受影响系统：

Cisco Security Agent for Windows 5.2.0.238
Cisco Security Agent for Windows 5.1.0.106
Cisco Security Agent for Windows 5.0.0.225
Cisco Security Agent for Windows 4.5.1.672

描述：

---

BUGTRAQ  ID: 26723
CVE(CAN) ID: CVE-2007-5580

Cisco Security Agent是为服务器和桌面计算系统提供威胁防护的安全软件代理。

CSA for Windows在处理畸形的SMB数据包时存在漏洞，远程攻击者可能利用此漏洞控制安装了CSA的系统。

CSA for Windows版本所带的一个驱动程序在处理SMB请求报文时没有正确检查用户提供的数据长度，可能触发一个系统内核中的栈溢出。远程攻击者可以造成安装了CSA的系统重启、蓝屏。通过精心构造数据，攻击者可能远程执行任意指令，从而完全控制系统。

CSA默认允许访问TCP 139和445端口。攻击者仅仅需要建立TCP 139和445端口的连接，发送单包而无需认证即可完成攻击。需要创建TCP会话才能触发这个漏洞，也就是必须完成TCP三重握手。

<*来源：Nsfocus安全小组 （security@nsfocus.com）
  
  链接：http://secunia.com/advisories/27947/
        http://www.cisco.com/warp/public/707/cisco-sa-20071205-csa.shtml
        http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=46
*>

建议：

---

临时解决方法：

* 限制对TCP 139和445端口的访问

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20071205-csa）以及相应补丁:
cisco-sa-20071205-csa：Cisco Security Agent for Windows System Driver Remote Buffer Overflow Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20071205-csa.shtml

补丁下载：
http://www.cisco.com/cgi-bin/tablebuild.pl/csahf-crypto?psrtdcat20e2
http://www.cisco.com/cgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2
http://www.cisco.com/cgi-bin/tablebuild.pl/csm-app?psrtdcat20e2

浏览次数：4165
严重程度：0（网友投票）