发布日期：2005-11-15
更新日期：2005-11-15

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2
Cisco PIX Firewall < 6.3(5)
Cisco VPN 3000 Concentrator < 4.7(2)B
Cisco Firewall Services Module < 2.3(3)
Cisco MDS < 2.1(2)
Cisco PIX/ASA < 7.0.1.4

不受影响系统：

Cisco PIX Firewall 6.3(5)
Cisco VPN 3000 Concentrator 4.7(2)B
Cisco VPN 3000 Concentrator 4.1(7)H
Cisco Firewall Services Module 2.3(3)
Cisco MDS 2.1(2)
Cisco PIX/ASA 7.0.1.4

描述：

---

BUGTRAQ  ID: 15401

IP Security或IPSec是IETF的一套标准化协议，用于支持IP报文的加密和/或认证传输，通常用在虚拟专用网（VPN）中。

多个Cisco产品在处理IPSec IKE消息时存在漏洞。IPSec的PROTOS测试组件可通过向目标设备发送畸形的IKE消息测试IPSec实现的设计局限。如果收到了特定的畸形报文的话，有漏洞的Cisco设备可能重置，导致临时的拒绝服务。

<*来源：Cisco安全公告
        NISCC （albatross@tim.it）
  
  链接：http://www.niscc.gov.uk/niscc/docs/re-20051114-01014.pdf?lang=en
        http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml
*>

建议：

---

临时解决方法：

* 使用报文过滤，仅允许可信任IP地址的ISAKMP协商；
* 不要在第一阶段使用aggressive模式。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20051114-ipsec）以及相应补丁:
cisco-sa-20051114-ipsec：Multiple Vulnerabilities Found by PROTOS IPSec Test Suite
链接：http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml

浏览次数：3433
严重程度：0（网友投票）