发布日期：2005-10-20
更新日期：2005-10-20

受影响系统：

Cisco CSS 11500 7.5
Cisco CSS 11500 7.4
Cisco CSS 11500 7.30 (00.09)S
Cisco CSS 11500 7.30 (00.08)S
Cisco CSS 11500 7.20 (03.10)S
Cisco CSS 11500 7.20 (03.09)S
Cisco CSS 11500 7.10 (05.07)S

描述：

---

BUGTRAQ  ID: 15144

Cisco CSS 11500内容服务交换机是用于为数据中心提供强健可度量网络服务（4-7层）的负载均衡设备。

由于在协商SSL会话期间畸形数字客户端证书所导致的内容破坏，Cisco CSS 11500可能会重新加载。

即使在SSL会话协商期间CSS没有请求客户端证书也会出现这种情况。仅在将CSS配置为支持SSL终端服务的情况下才会出现这个漏洞，而SSL终端服务不是默认配置的。

<*来源：Cisco安全公告
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20051019-css.shtml
*>

建议：

---

临时解决方法：

* 如果不需要的话，对网络服务禁用SSL终端；
* 在CSS或网络设备上CSS之前使用访问控制列表(ACL)，将对SSL终端服务的访问仅限于可信任的网络。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20051019-css）以及相应补丁:
cisco-sa-20051019-css：Cisco 11500 Content Services Switch SSL Malformed Client Certificate Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20051019-css.shtml

补丁下载：

http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0730402.adi&app=Tablebuild&status=showC2A
http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0740202.adi&app=Tablebuild&status=showC2A
http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0750103.adi&app=Tablebuild&status=showC2A

浏览次数：3271
严重程度：0（网友投票）