Cisco防火墙服务模块ICMP消息拒绝服务漏洞
来源:岁月联盟
时间:2009-10-06
Cisco Firewall Services Module 4.x
Cisco Firewall Services Module 3.x
Cisco Firewall Services Module 2.x漏洞描述:
CVE(CAN) ID: CVE-2009-0638
Cisco FWSM是Cisco设备上的防火墙服务模块。
Cisco FWSM软件中存在漏洞,如果处理了多个特制的ICMP消息,就会导致FWSM停止转发接口之间的通讯,或停止处理到达FWSM的通讯(管理通讯)。这是由于FWSM用于处理通讯的一个网络处理器(NP)在处理特定类型的ICMP消息时可能耗尽所有可用的执行线程,这种行为限制了可用于处理更多通讯的执行线程。
任何中间通讯或到达FWSM的通讯都受影响,无论是否启用了ICMP检查。<*参考
http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml
*>
临时解决方法:
* 在屏蔽设备或到达FWSM路径的设备上阻断非必需的ICMP消息可以防止FWSM触发漏洞。例如,在FWSM前的Cisco IOS设备上部署以下ACL可以防止特制的ICMP消息到达FWSM,以防FWSM触发漏洞:
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any host-unreachable
access-list 101 permit icmp any any unreachable
access-list 101 deny icmp any any
access-list 101 permit ip any any
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20090819-fwsm)以及相应补丁:
cisco-sa-20090819-fwsm:Firewall Services Module Crafted ICMP Message Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml
