134289">

受影响系统：
Cisco Firewall Services Module 3.2
Cisco Firewall Services Module 3.1
Cisco Firewall Services Module 2.3
不受影响系统：
Cisco Firewall Services Module 3.2(3)
Cisco Firewall Services Module 3.1(7)

描述：

BUGTRAQ  ID: 26109

Cisco FWSM是Cisco设备上的防火墙服务模块。

如果处理了特制的HTTPS请求的话，启用了HTTPS服务器的FWSM可能会重载。HTTPS服务器默认是禁用的。
  
接收HTTPS请求的源IP地址和接口必须符合所配置的http <source IP> <address mask> <source interface>命令。例如，如果配置中存在http 10.10.10.0 255.255.255.0命令的话，则仅有来自10.10.10.0/24网络的特制HTTPS请求才会在设备上造成问题。这个漏洞在Cisco Bug ID中记录为CSCsi77844。

如果处理了特制的MGCP报文的话，启用了MGCP应用层协议检查功能的FWSM可能会重载。MGCP应用层协议检查不是默认启用的。
  
MGCP消息是通过用户数据报协议（UDP）传输的，这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP（UDP 2427端口上的MGCP通讯）才受影响。这个漏洞在Cisco Bug ID中记录为CSCsi00694。

可通过命令行接口或ASDM控制ACL，包括删除和重新添加ACE。如果以这种方式控制了访问列表，ACL的内部结构会被破坏，导致FWSM不会评估某些ACE。由于没有评估ACL中的ACE，ACL可能会允许正常情况下应拒绝的通讯，或拒绝正常情况下应允许的通讯。这个漏洞在Cisco Bug ID中记录为CSCsj52536。

建议：

临时解决方法：

* 在中间节点ACL（tACL）策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查：
  
    FWSM(config)# access-list mgcp_traffic permit udp host 192.168.0.1
         host 172.16.0.1 eq 2427
    FWSM(config)# access-list mgcp_traffic permit udp host 172.16.0.1
         host 192.168.0.1 eq 2427
    FWSM(config)# class-map MGCP
    FWSM(config-cmap)# match access-list mgcp_traffic
    FWSM(config-cmap)# exit
    FWSM(config)# policy-map global_policy
    FWSM(config-pmap)# class inspection_default
    FWSM(config-pmap-c)# no inspect mgcp
    FWSM(config-pmap-c)# exit
    FWSM(config-pmap)# class MGCP
    FWSM(config-pmap-c)# inspect mgcp
    FWSM(config-pmap-c)# exit
    FWSM(config-pmap)# exit
    FWSM(config)#

* 在修改之前完全删除ACL，然后使用预期的更改重新创建。可通过clear configure access-list <ACL name>命令删除ACL。

厂商补丁：

Cisco已经为此发布了一个安全公告（cisco-sa-20071017-fwsm）以及相应补丁:
cisco-sa-20071017-fwsm：Multiple Vulnerabilities in Firewall Services Module
链接：http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml

补丁下载：
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2.