发布日期：2013-06-26
更新日期：2013-06-27

受影响系统：

Cisco Next-Generation Firewall

描述：

---

CVE(CAN) ID: CVE-2013-3382

Cisco ASA Next-Generation Firewall 是下一代防火墙产品，是附加服务模块，扩展了ASA平台。

Cisco ASA Next-Generation Firewall在实现上存在碎片报文拒绝服务漏洞，可造成设备重载或停止检验父Cisco ASA到ASA NGFW模块发送的用户报文。此漏洞源于解析重组报文无效。攻击者通过发送碎片报文由ASA NGFW拒绝策略处理利用此漏洞。

<*来源：vendor
  
  链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-ngfw
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*禁用Cisco ASA防火墙重定向Web流量到Cisco ASA NGFW模块：
ASA(config)# policy-map cx_traffic_policy
ASA(config-pmap)# class cx_traffic
ASA(config-pmap-c)# no cxcs
* 禁用Cisco ASA firewall的碎片报文处理：
ASA(config)# fragment chain 1

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20130626-ngfw）以及相应补丁:
cisco-sa-20130626-ngfw：Cisco ASA Next-Generation Firewall Fragmented Traffic Denial of Service Vulnerability
链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-ngfw

浏览次数：3959
严重程度：0（网友投票）