На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  О компании /  Новости / Новости Cisco — февраль 2004

20.03.04 Новости Cisco — февраль 2004

Уязвимости модуля Cisco FWSM

Компания Cisco Systems объявила о наличии двух уязвимостей сервисного модуля Cisco Firewall Services Module для устройств серии Cisco Catalyst 6500 и Cisco 7600 Series (FWSM). Эти уязвимости зарегистрированы под кодами CSCeb16356 (HTTP Auth) и CSCeb88419 (SNMPv3). Данные уязвимости найдены во всех модулях Cisco FWSM, которые используют ПО Cisco FWSM версий 1.1.2 и более ранние. Продукты серии Cisco PIX firewall также имеют уязвимость при обработке сообщений протокола SNMPv3, которая описана http://www.cisco.com/warp/public/707/cisco-sa-20031215-pix.shtml. Ни в каких других продуктах Cisco, на данный момент, эти уязвимости не обнаружены. Для уменьшения возможного вреда уязвимости CSCeb20276 (SNMPv3) существует метод настройки ПО. Для уменьшения возможного вреда уязвимости CSCeb16356 (HTTP Auth) таких методов не существует.

Подробности

CSCeb16356 (HTTP Auth)
Модуль Cisco FWSM может перейти в аварийное состояние или перезагрузится в связи с наличием уязвимости переполнения буфера при обработке запросов на аутентификацию HTTP (Auth-Proxy) сессий с использованием протоколов TACACS+ или RADIUS. Во время обработки таких запросов пользователю выдается диалоговое окно с запросом имени/пароля именно в том момент, когда пользователь начинает соединение по FTP, Telnet, или через World Wide Web (HTTP). Если имя и пароль успешно аутентифицированы сервером TACACS+ или RADIUS, модуль Cisco FWSM разрешает дальнейшую передачу трафика сессии без дальнейшего вмешательства модуля. Такая функция называется «cut-through proxy».

CSCeb88419 (SNMPv3)
Модуль Cisco FWSM может перейти в аварийное состояние или перезагрузится при обработке сообщений SNMPv3 в тот момент, когда настроены команды snmp-server host <if_name> <ip_addr> или snmp-server host <if_name> <ip_addr> poll. Это может произойти, даже если программное обеспечение модуля Cisco FWSM не поддерживает SNMPv3. Если модуль Cisco FWSM настроен на создание и посылку traps с использованием команды snmp-server host <if_name> <ip_addr> trap, то проблемы, связанные с этой уязвимостью исключаются.

Возможные проблемы

CSCeb16356 (HTTP Auth) CSCeb88419 (SNMPv3)
Эти уязвимости могут быть использованы для организации атаки типа «отказ в обслуживании» на модуль Cisco FWSM.

Обновление программного обеспечения

Для устранения этих уязвимостей CSCeb16356 (HTTP Auth)  CSCeb88419 (SNMPv3) необходимо перейти на версии ПО 1.1.3 или более поздние. Все заказчики могут получить обновления для устранения этих уязвимостей бесплатно.

Более подробно эти уязвимости описаны здесь: http://www.cisco.com/warp/public/707/cisco-sa-20031215-fwsm.shtml

Уязвимости межсетевых экранов Cisco PIX Firewall

Компания Cisco Systems объявила о наличии двух уязвимостей в программном обеспечении устройств Cisco PIX Firewall. Эти уязвимости зарегистрированы под кодами CSCeb20276 (SNMPv3) и CSCec20244 (VPNC). Данные уязвимости найдены во всех устройствах Cisco PIX Firewall, которые используют ПО следующих версий:
CSCeb20276 (SNMPv3)
6.3.1, 6.2.2 и более ранние, 6.1.4 и более ранние, 5.x.x и более ранние.
CSCec20244 (VPNC)
6.2 (2.119) до 6.2.3, включая обе
6.3.x и с 6.2.1 до 6.2 (2.118) не имеют этой уязвимости.

Модули Cisco FWSM также имеют уязвимость при обработке сообщений протокола SNMPv3, которая описана http://www.cisco.com/warp/public/707/cisco-sa-20031215-fwsm.shtml.
Ни в каких других продуктах Cisco, на данный момент, эти уязвимости не обнаружены. Для уменьшения возможного вреда уязвимости CSCeb20276 (SNMPv3) существует метод настройки ПО. Для уменьшения возможного вреда уязвимости CSCec20244 (VPNC) таких методов не существует.

Подробности

CSCeb88419 (SNMPv3)
Устройство Cisco PIX Firewall может перейти в аварийное состояние или перезагрузится при обработке сообщений SNMPv3 в тот момент, когда настроены команды snmp-server host <if_name> <ip_addr> или snmp-server host <if_name> <ip_addr> poll. Это может произойти, даже если программное обеспечение устройства Cisco PIX Firewall не поддерживает SNMPv3. Если устройство Cisco PIX Firewall настроено на создание и посылку traps с использованием команды snmp-server host <if_name> <ip_addr> trap, то проблемы, связанные с этой уязвимостью исключаются.


CSCec20244 (VPNC)
При определенных обстоятельствах установленный «туннель» VPNC IPSec может быть сброшен, если  другой клиент IPSec попробует организовать туннель IKE Phase I с внешним интерфейсом Cisco PIX firewall, где включена поддержка VPN Client. Этой уязвимости подвержены только устройства Cisco PIX firewall, на которых включена поддержка VPN Client. Для  восстановления работоспособности функционала VPN Client необходима перезагрузка устройства. Никакие действия на стороне VPN концентратора производить не нужно.
Такой функционал VPN Концентратора также известен как Easy VPN или ezVPN. Соединение устанавливается в тот момент, когда Cisco PIX firewall, используемый как VPN client, подключается к VPN server. Протокол IKE используется, как один из шагов при организации IPSec «туннеля».
В программном обеспечении версии 6.2 (3.100) и более поздних, эта уязвимость устранена.

Возможные проблемы

CSCeb88419 (SNMPv3) CSCec20244 (VPNC)
Эти уязвимости могут быть использованы для организации атаки типа «отказ в обслуживании» на межсетевой экран Cisco PIX Frewall или на соединения VPN Client и VPN Server.

Обновление программного обеспечения

Для устранения этих уязвимостей необходимо перейти на следующие версии:
CSCeb88419 (SNMPv3)
6.3.2 и более поздние, 6.2.3 и более поздние, 6.1.5 и более поздние.
CSCec20244 (VPNC)
6.3.1 и более поздние, 6.2(3.100) и более поздние.
Все заказчики могут получить обновления для устранения этих уязвимостей бесплатно.

Более подробно эти уязвимости описаны здесь: http://www.cisco.com/warp/public/707/cisco-sa-20031215-pix.shtml.

Изменения в процессе регистрации сервисных пакетов Cisco Systems

С некоторого времени номера активации сервисных пакетов Cisco (token) стали содержать date stamp (дату выпуска пакета = дате отгрузки пакета от Cisco).
В соответствии с новыми правилами регистрации сервисных пакетов, они должны быть активированы в течение 90 ДНЕЙ с даты выпуска пакета (отгрузки его со стороны Cisco). Этот период 90 дней называется "grace period" (разрешенный период регистрации). Если пакет зарегистрирован после этой даты, то дата начала действия сервисного контракта устанавливается задним числом как конечная дата разрешенного периода регистрации пакета ("grace period").
Т.е. если заказчик, например, зарегистрировал пакет через 7 месяцев с даты выпуска, то вместо купленного годового пакета он реально получит срок поддержки всего 6 месяцев (12 мес - (7мес -(90/30)мес).

Все заказчики, у кого есть НЕЗАРЕГИСТРИРОВАННЫЙ сервисный контракт, должны зарегистрировать его как можно скорее. В случае проблем  - это можно сделать через packaged services helpdesk ДО 31 МАРТА 2004. Координаты Cisco packaged services helpdesk:   pkg-help-euro@cisco.com, тел. 0044 208 824 9200

После 31 марта 2004 года services helpdesk будет запрашивать подтверждение о покупке прежде, чем помочь зарегистрировать контракт. Также после 31 марта незарегистрированные token-number с датами выпуска ДО ноября 2002 года "сгорят" и не будут заменяться Cisco.

Большая просьба сообщить новость по изменению правил регистрации сервисных пакетов ВАШИМ ЗАКАЗЧИКАМ, особенно тем, кому продавались сервисные пакеты, и у кого они, возможно, до сих пор не активированы.
Если у Вас или Ваших заказчиков куплено несколько годовых сервисных контрактов с намерением зарегистрировать их как единый многолетний сервисный контракт - нужно также поторопиться с регистрацией и написать соответствующее письмо в services helpdesk с просьбой зарегистрировать например три годовых сервисных пакета как один трехгодовой.

Возможные проблемы при регистрации сервисных пакетов Cisco.

- Все, кто когда либо регистрировал сервисные пакеты Cisco, знает, что при регистрации на сайте для активизации смартнета требуется указать так называемый  token number, который Вы можете найти в конвертах с сервисными пакетами. В последнее время при регистрации сервисных пакетов система достаточно часто выдает сообщение  об ошибке: 'invalid token' или что-то подобное. Эта проблема известна Cisco. Каждому заказчику или партнеру, столкнувшемуся с такой проблемой, нужно обратиться в Cisco packaged services helpdesk  для того, чтобы там сгенерировали новый token. В запросе следует указать P/N сервисного пакета, номер token, на который ругается система (лучше даже приложить отсканированный лист из сервисного контракта с номером token), и оборудование (P/N, S/N) которое планируется зарегистрировать под сервисный пакет.

- Также иногда заказчики и партнеры сталкиваются с проблемой отсутствия названия города в системе регистрации сервисных пакетов на сайте Cisco Systems. Эта проблема также решается через Сisco packaged services helpdesk.

Координаты Cisco packaged services helpdesk:   pkg-help-euro@cisco.com, тел. 0044 208 824 9200
Если Вам потребуется наша помощь в общении с services helpdesk - пожалуйста, обращайтесь.

Поддержка стандарта IEEE 802.3af в коммутаторах Cisco

В связи с принятием стандарта IEEE 802.3af, регламентирующего передачу питания устройствам сети по витой паре Power over Ethernet (PoE), компания Cisco анонсировала выпуск коммутаторов и модулей с поддержкой этого стандарта. Модели с поддержкой 802.3af будут выпущены в линейке 3750, для коммутаторов Catalyst 4500/6500 серий предлагаются новые модули с портами Ethernet 10/100 и 10/100/1000, кроме того создана новая линейка 3650, так же обеспечивающая питание через Ethernet.

Поддержка PoE в модульных коммутаторах Catalyst 4500/6500 серий.
Для коммутаторов 6500 выпущен новый 96-портовый модуль 10/100 с поддержкой 802.3af, кроме того, предлагаются новые дочерние карточки с поддержкой 802.3af, совместимые с существующими 48-портовым модулями 10/100 и 10/100/100. Набор модулей для серии коммутаторов 4500 расширен новыми 48-портовыми модулями 10/100 (RJ-45 и RJ-21) и 10/100/1000, совместимыми со всеми супервизорами и поддерживающими новый стандарт.

Добавление в линейке 3750 и новая серия 3560
Новые модели с поддержкой PoE добавятся в линейку стекируемых коммутаторов 3750, а аналогом серии 3550 с поддержкой стандарта 802.3af стала новая линейка коммутаторов с фиксированным числом портов 3560.

Все оборудование будет поддерживать как принятый стандарт, так и PoE в версии Cisco, который уже несколько лет используется для обеспечения электропитания IP-телефонов и точек доступа Cisco. Тип подключаемого к порту PoE оборудования будет распознаваться автоматически, что позволит избежать проблем, вызванных подключением несовместимых устройств или ошибками в конфигурации устройств.

 Дополнительная информация: http://www.cisco.com/en/US/netsol/ns340/ns394/ns147/ns412/networking_solutions_package.html

 

 
© АСПЕКТ СПб, 2009. Все права защищены.