多个Cisco产品报文远程拒绝服务漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-10-07
多个Cisco产品报文远程拒绝服务漏洞 影响版本:
Cisco NX-OS
Cisco Nexus 5000
Cisco IOS Software
Cisco IOS-XE Software
Cisco CatOS Software
Cisco ASA and Cisco PIX Software漏洞描述:
Bugraq ID: 36303
CVE ID:CVE-2009-0627

Cisco多个产品处理特殊构建的TCP报文存在问题,远程安全者可以利用漏洞对设备进行拒绝服务安全。
产品在TCP协议中存在一个拒绝服务安全的问题。通过操作TCP连接状态,安全者可以使系统处于长时间或在部分条件下可能永久的维护TCP连接的安全状态。通过大量充足的开放TCP连接,安全者可以使系统消耗内部缓冲区和内存资源,导致新的TCP连接不能访问目标端口或整个系统。需要重新启动获得正常功能。要利用这些漏洞需要通过完整的三次握手。
中转的网络设备不受此漏洞影响,但是维护TCP连接状态的网络设备受此漏洞影响,如果安全者可以通过维护TCP状态的中转设备建立足够的TCP连接,设备资源将被消耗完,并设备不能处理更多的TCP连接,导致拒绝服务安全。如果受影响的设备在网络中转发通信(路由器)将会是TCP状态操作安全的目标,安全者可以进行网络性质的拒绝服务安全条件。
Cisco IOS Software
所有Cisco IOS软件版本受此漏洞影响,运行Cisco IOS软件的设备受此安全者的情况下会出现大量FINWAIT1状态的TCP连接。show tcp brief命令可以用于显示大量TCP连接,如下所示:
Router#show tcp brief | include FIN
63D697C4  192.168.1.10.80            192.168.1.20.38479         FINWAIT1
63032A28  192.168.1.10.80            192.168.1.20.54154         FINWAIT1
645F8068  192.168.1.10.80            192.168.1.20.56287         FINWAIT1
630323F4  192.168.1.10.80            192.168.1.20.6372          FINWAIT1
63D69190  192.168.1.10.80            192.168.1.20.23489         FINWAIT1
Cisco IOS-XE Software
所有Cisco OS-XE软件版本受此漏洞影响,运行Cisco OS-XE软件的设备受此安全者的情况下会出现大量FINWAIT1状态的TCP连接。show tcp brief命令可以用于显示大量TCP连接,如下所示:
Router#show tcp brief | include FIN
63D697C4  192.168.1.10.80            192.168.1.20.38479         FINWAIT1
63032A28  192.168.1.10.80            192.168.1.20.54154         FINWAIT1
645F8068  192.168.1.10.80            192.168.1.20.56287         FINWAIT1
630323F4  192.168.1.10.80            192.168.1.20.6372          FINWAIT1
63D69190  192.168.1.10.80            192.168.1.20.23489         FINWAIT1
Cisco CatOS Software
所有Cisco CatOS软件版本受此漏洞影响,运行Cisco CatOS软件的设备受此安全者的情况下会出现大量FIN_WAIT_1状态的TCP连接。show netstat命令可以用于显示大量TCP连接,如下所示:
Console> (enable) show netstat
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp        0     83  192.168.1.10.23        192.168.1.20.46056       FIN_WAIT_1
tcp        0     83  192.168.1.10.23        192.168.1.20.16305       FIN_WAIT_1
tcp        0     83  192.168.1.10.23        192.168.1.20.14628       FIN_WAIT_1
tcp        0     83  192.168.1.10.23        192.168.1.20.7275        FIN_WAIT_1
tcp        0     83  192.168.1.10.23        192.168.1.20.39559       FIN_WAIT_1
Cisco ASA and Cisco PIX Software
部分Cisco ASA and Cisco PIX软件版本受此漏洞影响,运行Cisco ASA and Cisco PIX软件的设备受此安全者的情况下会出现大量建立状态的TCP连接。show asp table socket命令可以用于显示大量TCP连接,如下所示:
FIREWALL# show asp table socket | grep ESTAB
TCP       123a8a6c  192.168.1.10:80           192.168.1.20:46181    ESTAB
TCP       123e6d54  192.168.1.10:80           192.168.1.20:29546    ESTAB
TCP       1244f78c  192.168.1.10:80           192.168.1.20:40271    ESTAB
TCP       124f8d2c  192.168.1.10:80           192.168.1.20:46599    ESTAB
TCP       12507f2c  192.168.1.10:80           192.168.1.20:5607     ESTAB
不过普通的通信在Cisco ASA或PIX设备上也显示建立的TCP连接,特别是设备作为VPN连接终端。要证实建立的TCP连接是否属于安全的一部分,管理需要使用网络嗅探器或Netflow收集终端进行网络监视来判断。
Cisco NX-OS Software
所有运行Cisco NX-OS版本的Cisco Nexus 5000和7000平台受此漏洞影响,运行Cisco NX-OS的Nexus 5005或7000软件的设备受此安全者的情况下会出现大量FIN_WAIT_1状态的TCP连接。show tcp connection detail命令可以用于显示大量TCP连接,如下所示:
NEXUS# show tcp connection detail | include FIN
  State: FIN_WAIT_1
  State: FIN_WAIT_1
  State: FIN_WAIT_1
  State: FIN_WAIT_1
  State: FIN_WAIT_1<*参考 
http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml
*>
SEBUG安全建议:
用户可参考如下安全公告获得补丁信息:
http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml

图片内容