发布日期：2009-09-23
更新日期：2009-09-25

受影响系统：

Cisco IOS XE 2.3
Cisco IOS 12.4
Cisco IOS 12.2

描述：

---

BUGTRAQ  ID: 36493
CVE ID: CVE-2009-2871

Cisco IOS是思科网络设备所使用的互联网操作系统。

如果在TCP 443（SSLVPN）或TCP 22（SSH）端口上接收到了特制的TCP报文，则配置了SSLVPN或SSH的Cisco IOS设备可能重载。必须完成到这些功能相关TCP端口号的三重握手才可以成功利用这个漏洞，但无需认证。

如果在500或4500端口（配置了NAT-T的情况下）上接收到了特制的UDP报文，则配置了IKE加密nonce的Cisco IOS设备可能重载。

<*来源：Cisco安全公告
  
  链接：http://secunia.com/advisories/36835/
        http://www.cisco.com/warp/public/707/cisco-sa-20090923-tls.shtml
*>

建议：

---

临时解决方法：

* 使用no webvpn enable命令禁用SSL VPN。
  
   对于Cisco IOS，可在配置模式中应用crypto key zeroize rsa命令禁用SSH服务器。SSH服务器在生成RSA密钥对时自动启用，清零RSA密钥是唯一彻底禁用SSH服务器的方法。

   还可通过删除SSH为有效传输协议在Cisco IOS软件禁止对SSH服务器的访问。可以配置模式在vty行重新应用许可传输列表中删除了ssh的transport input命令执行这个操作，例如：

    line vty 0 4                                                                    
          transport input telnet                                                        
        end

   如果需要SSH server功能，可在vty行使用ACL将对服务器的房屋仅限于特定的源IP地址，或完全阻断。以下是vty访问列表示例：

    access-list 2 permit 10.1.1.0 0.0.0.255
    access-list 2 deny any
    
    line vty 0 4
     access-class 2 in

   在上面的例子中，仅有10.1.1.0/24网络允许SSH到Cisco IOS设备。
  
* 禁用IKE加密nonce，在ISAKMP策略下使用no authentication rsa-encr命令，如下所示：

    crypto isakmp policy
     no authentication rsa-encr

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20090923-tls）以及相应补丁:
cisco-sa-20090923-tls：Cisco IOS Software Crafted Encryption Packet Denial of Service Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20090923-tls.shtml

浏览次数：2798
严重程度：0（网友投票）