CERT-FI haavoittuvuustiedote 095/2009

24.9.2009

Cisco julkaisi puolivuotispäivityksensä

Kohde:	- palvelimet ja palvelinsovellukset - verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Cisco Systems on eräs maailman johtavista verkkolaitevalmistajista. Cisco on ilmoittanut julkaisevansa päivitykset verkkolaitteissaan käytettävään IOS-käyttöjärjestelmään pääsääntöisesti kaksi kertaa vuodessa. Eilisiin puolivuotispäivityksiin kuului kaikkiaan 11 tiedotetta, jotka paikkasivat 12 haavoittuvuutta.

Tiedotteista yhdeksän koski IOS-käyttöjärjestelmää ja kaksi Unified Communications Manager -IP-puhelinjärjestelmän eri versioita. Jollei alla muuta mainita, hyökkääjä voi hyväksikäyttää haavoittuvuuksia aiheuttamaan kohteelle palvelunestotilan lähettämällä sille tietyllä tavalla muokatun paketin.

Ensimmäinen tiedote koski haavoittuvuutta NTP-protokollassa.

Toinen, viides, kuudes ja seitsemäs tiedote koskivat internet-puhelimissa käytettyjen SIP- ja H.323-protokollien käsittelyä.

Kolmanessa tiedotteessa kuvattu haavoittuvuus on HTTP-palvelun todennuksessa. Käyttämällä haavoittuvuutta hyväkseen hyökkääjä voi ohittaa todennuksen

Neljännen tietotteen haavoittuvuus liittyy salattujen pakettien käsittelyyn SSH-etähallintapalvelussa, IKE-avaimenvaihtoprotokollatoteutuksessa ja SSL/VPN-yhteyksien toteutuksessa.

Kahdeksas tiedote koskee haavoittuvuutta ACL-pääsylistojen käsittelyssä. Hyökkääjän voi olla mahdollista ohittaa pääsylista, jossa on käytetty kohteita ryhmittelevää object group-toimintoa.

Yhdeksännessä tiedotteessa kuvatut kaksi haavoittuvuutta liittyvät IP-tunnelointiin ja Cisco Express Forwarding -paketinvälitykseen.

Kymmenennen tiedotteen haavoittuvuus liittyy IKE-avaimenvaihtoprotokollaan, kun varmennepohjainen todennus on käytössä.

Yhdennessätoista tiedotteessa kuvattu haavoittuvuus on puskurin ylivuoto rekisteröityneen internet-puhelinkäyttäjän Extension Mobility -sisäänkirjautumisessa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omaa ohjelmakoodiaan lähettämällä sille tietyllä tavalla muokattu HTTP-kysely.

HAAVOITTUVAT OHJELMISTOT:

• Cisco IOS
• Cisco Unified Communications Manager
• Cisco Unified Communications Manager Express
  

Tarkemmat tiedot haavoittuvista versioista löytyvät Ciscon tiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti.

Suurinta osaa haavoittuvuuksista voi rajoittaa poistamalla haavoittuvan palvelun käytöstä tai rajaamalla siihen pääsyä suodatuskeinoin tai estolistoin. Suodatuskeinot voivat olla riittämättömiä UDP-pohjaisissa palveluissa, joihin hyökkääjä voi väärentää lähdeosoitteensa.

LISÄTIETOA:

• http://www.cisco.com/warp/public/707/cisco-sa-20090923-ntp.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-ios-fw.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-auth-proxy.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-tls.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-sip.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-h323.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-cm.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-acl.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-tunnels.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-ipsec.shtml
• http://www.cisco.com/warp/public/707/cisco-sa-20090923-cme.shtml
• CVE-2009-2869
• CVE-2009-2867
• CVE-2009-2863
• CVE-2009-2871
• CVE-2009-2870
• CVE-2009-2866
• CVE-2009-2864
• CVE-2009-2862
• CVE-2009-2872
• CVE-2009-2873
• CVE-2009-2868
• CVE-2009-2865

PÄIVITYSHISTORIA:

24.9.2009, kello 9:00: Julkaistu

Sivua päivitetty 05.10.2009

Tulostusversio