发布日期:2013-06-26
更新日期:2013-06-27
受影响系统:
Cisco Next-Generation Firewall
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-3382
Cisco ASA Next-Generation Firewall 是下一代防火墙产品,是附加服务模块,扩展了ASA平台。
Cisco ASA Next-Generation Firewall在实现上存在碎片报文拒绝服务漏洞,可造成设备重载或停止检验父Cisco ASA到ASA NGFW模块发送的用户报文。此漏洞源于解析重组报文无效。攻击者通过发送碎片报文由ASA NGFW拒绝策略处理利用此漏洞。
<*来源:vendor
链接:
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
*禁用Cisco ASA防火墙重定向Web流量到Cisco ASA NGFW模块:
ASA(config)# policy-map cx_traffic_policy
ASA(config-pmap)# class cx_traffic
ASA(config-pmap-c)# no cxcs
* 禁用Cisco ASA firewall的碎片报文处理:
ASA(config)# fragment chain 1
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20130626-ngfw)以及相应补丁:
cisco-sa-20130626-ngfw:Cisco ASA Next-Generation Firewall Fragmented Traffic Denial of Service Vulnerability
链接: