安全研究
安全漏洞
Cisco IOS SIP报文处理远程拒绝服务漏洞
发布日期:2007-01-31
更新日期:2007-02-10
受影响系统:
Cisco IOS 12.4描述:
Cisco IOS 12.3
BUGTRAQ ID: 22330
CVE(CAN) ID: CVE-2007-0648
Cisco IOS是Cisco网络设备所使用的操作系统。
运行某些IOS版本且支持SIP服务的Cisco设备中存在漏洞,可能允许通过向TCP 5060端口或UDP 5060端口发送一系列特制的SIP报文导致设备重载。
此外,即使没有配置SIP操作的话,某些支持SIP服务的IOS版本也可能处理SIP消息。如果要处理SIP消息IOS需要打开UDP 5060端口和TCP 5060端口进行监听。
设备必须有开放的SIP端口才会受这个漏洞影响。没有监听TCP 5060或UDP 5060的设备不受漏洞影响。由于SIP使用UDP进行传输,因此可以伪造发送者的IP地址,这可能导致允许从可信任IP地址到这些端口通讯的ACL失效。
<*来源:Cisco安全公告
链接:http://secunia.com/advisories/23978/
http://www.kb.cert.org/vuls/id/438176
http://www.cisco.com/warp/public/707/cisco-sa-20070131-sip.shtml
*>
建议:
临时解决方法:
* 关闭SIP处理
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#sip-ua
Router(config-sip-ua)#no transport udp
Router(config-sip-ua)#no transport tcp
Router(config-sip-ua)#end
* 控制面整型,在网络中应用以下CoPP示例:
!-- Permit all TCP and UDP SIP traffic sent to all IP addresses
!-- configured on all interfaces of the affected device so that it
!-- will be policed and dropped by the CoPP feature
access-list 100 permit tcp any any eq 5060
access-list 100 permit udp any any eq 5060
!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices
!
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature
class-map match-all drop-sip-class
match access-group 100
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device
policy-map drop-sip-traffic
class drop-sip-class
drop
!-- Apply the Policy-Map to the Control-Plane of the
!-- device
control-plane
service-policy input drop-sip-traffic
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20070131-sip)以及相应补丁:
cisco-sa-20070131-sip:SIP Packet Reloads IOS Devices Not Configured for SIP
链接:http://www.cisco.com/warp/public/707/cisco-sa-20070131-sip.shtml
浏览次数:3233
严重程度:0(网友投票)
绿盟科技给您安全的保障