发布日期：2010-08-04
更新日期：2010-08-06

受影响系统：

Cisco ASA 5500 8.x
Cisco ASA 5500 7.x

不受影响系统：

Cisco ASA 5500 8.3(2)
Cisco ASA 5500 8.2(2.17)
Cisco ASA 5500 8.1(2.46)
Cisco ASA 5500 8.0(5.19)
Cisco ASA 5500 7.2(5)
Cisco ASA 5500 7.0(8.11)

描述：

---

BUGTRAQ  ID: 42188,42192,42195,42187,42196,42198,42189,42190
CVE ID: CVE-2010-1578,CVE-2010-1579,CVE-2010-1580,CVE-2010-1581,CVE-2010-2814,CVE-2010-2815,CVE-2010-2816,CVE-2010-2817

Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。

远程攻击者可以通过向Cisco ASA 5500系列自适应安全设备发送各种畸形报文导致拒绝服务的情况。

SunRPC检查拒绝服务漏洞

   三个拒绝服务漏洞影响Cisco ASA 5500系列自适应安全设备的SunRPC检查功能，未经认证的攻击者可以导致受影响的设备重载。
  
   注释：仅有中间通讯才可以触发这些漏洞，发送给设备的通讯不会触发漏洞。可使用UDP而非TCP报文来触发漏洞。

   这个漏洞在Cisco Bug ID中记录为CSCtc77567、CSCtc79922和CSCtc85753，所分配的CVE ID为CVE-2010-1578、CVE-2010-1579和CVE-2010-1580。
  
TLS拒绝服务漏洞

   一系列特制的TLS报文可以在Cisco ASA安全设备上触发三个漏洞，未经认证的攻击者可以导致受影响的设备重载。配置了加密语音检查SSL VPN、TLS代理或配置为接受ASDM管理连接的Cisco ASA设备有漏洞。

   这个漏洞在Cisco Bug ID中记录为CSCtd32627、CSCtf37506和CSCtf55259，所分配的CVE ID为CVE-2010-1581、CVE-2010-2814和CVE-2010-2815。

SIP检查拒绝服务漏洞

   Cisco ASA 5500系列自适应安全设备的SIP检查功能存在拒绝服务漏洞。SIP检查是默认启用的。成功攻击后，未经认证的攻击者可以导致受影响的设备重载。
  
   注释：仅有中间通讯才可以触发这些漏洞，发送给设备的通讯不会触发漏洞。可使用UDP而非TCP报文来触发漏洞。

   这个漏洞在Cisco Bug ID中记录为CSCtd32106，所分配的CVE ID为CVE-2010-2816。

特制IKE消息拒绝服务漏洞

   Cisco ASA的IKE实现中存在拒绝服务漏洞。成功攻击后，未经认证的攻击者可以导致受影响的设备重载。
  
   注释：在设备配置了IPsec远程访问或站点到站点VPN的情况下，仅有发送给设备的通讯才可以触发这个漏洞。
  
   这个漏洞在Cisco Bug ID中记录为CSCte46507，所分配的CVE ID为CVE-2010-2817。

<*来源：Cisco
  
  链接：http://secunia.com/advisories/40842/
        http://www.cisco.com/warp/public/707/cisco-sa-20100804-asa.shtml
*>

建议：

---

临时解决方法：

SunRPC检查拒绝服务漏洞

   如果非必须，可通过禁用SunRPC检查功能来禁用SunRPC检查漏洞。管理员可通过在policy-map配置的类配置子模式中发布no inspect sunrpc来禁用SunRPC检查。
  
TLS拒绝服务漏洞

   如果不需要SSL VPN（无客户端或基于客户端），可通过发布clear configure webvpn命令将其禁用。
  
   管理员应确保仅允许可信任主机的ASDM连接。
  
   如果要确认安全设备接受ASDM的HTTPS连接的IP地址，对每个可信任的主机地址或子网配置http命令。以下示例显示如果将IP地址为192.168.1.100的可信任主机添加到配置中：

        hostname(config)# http 192.168.1.100 255.255.255.255

   加密语音检查的TLS代理功能受这些漏洞影响。如果不需要的话，可以禁用该功能。临时禁用这个功能可以缓解这些漏洞。
  
   如果配置了HTTPS，网络访问的直通代理功能受这些漏洞影响。如果不需要的话，唯一的临时解决方案就是禁用这个功能。如果要禁用HTTPS直通代理认证，使用no aaa authentication listener https命令，如下所示：

    ASA(config)# no  aaa authentication listener https inside port 443

SIP检查拒绝服务漏洞

   如果不需要的话，可通过禁用SIP检查缓解这个漏洞。管理员可在policy-map配置中的类配置子模式通过发布no inspect sip命令来禁用SIP检查。

特制IKE消息拒绝服务漏洞

   除了在受影响设备上禁用IKE外没有这个漏洞的临时解决方案。可使用no crypto isakmp enable <interface-name>命令在特定接口上禁用IKE。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20100804-asa）以及相应补丁:
cisco-sa-20100804-asa：Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
链接：http://www.cisco.com/warp/public/707/cisco-sa-20100804-asa.shtml

补丁下载：
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT?psrtdcat20e2
http://tools.cisco.com/support/downloads/pub/Redirect.x?mdfid=279513386

浏览次数：3414
严重程度：0（网友投票）