English

◀◁ 뒤로 취약점ID 29040 위험도 40 포트 161 프로토콜 UDP 분류 CISCO 상세설명 해당 Cisco IOS는 비정상적인 SIP 패킷들을 통한 서비스거부 취약점(CISCO 버그 ID CSCdz39284와 CSCdz41124)을 가지고 있다. Oulu 대학교 보안 프로그래밍 그룹은 SIP (Session Initiation Protocol) 구현들에서 많은 취약점들을 발견했다. 이 문제들은 프로토콜을 구현한 장비들에서 서비스거부를 유발하는 데에 도용될 수 있다. 또한 어떤 특정 조건들에서는 장비들에 대한 비인가된 액세스가 가능한 것으로 알려져 있다. SIP는 IP를 통한 멀티미디어 회의를 위한 Internet Engineering Task Force (IETF) 표준이다. SIP는 두개 이상의 종단간에 호출(call)들을 맺거나, 유지하거나, 종료하는 데에 사용될 수 있는 (RFC 2543과 3261에 정의된) ASCII 기반, 어플리케이션 계층의 제어 프로토콜이다. 12.2T train 혹은 12.2 'X' train들의 Cisco IOS 버전들이 가동되는 장비들은 SIP 필드들의 부적절한 처리로 인해 리부팅(reset) 될 수 있다. 이 취약점들은 Cisco 버그 ID CSCdz39284와 CSCdz41124에 문서화되어 있다. CSCdz39284에 취약한 조건으로는 장비에 취약한 버전의 IOS 버전이 가동중이면서 SIP 게이트웨이로서 설정되어 있어야 한다. 또한 NAT를 수행하도록 설정되어 있는 취약한 버전의 Cisco IOS가 가동되는 장비들이 SIP가 전송을 위해 UDP를 사용한다면 CSCdz41124에 취약하다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml http://www.cert.org/advisories/CA-2003-06.html http://www.kb.cert.org/vuls/id/528719 http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/ http://www.securitytracker.com/alerts/2003/Feb/1006167.html * 영향을 받는 플랫폼: Cisco IOS 12.2T Cisco IOS 12.2X 해결책 다음 Cisco 보안 권고안을 참조하여 Cisco IOS의 가장 최신 버전 (12.2(11)T3 혹은 12.2(13)T1 이상)으로 업그레이드 하여야 한다: http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml 이 업그레이드들은 Cisco의 웹 사이트인 http://www.cisco.com/tacpage/sw-center/ 에 있는 Software Center를 통해 구할 수 있다. 임시 조치방법으로는 만약 SIP 프로토콜을 위해 NAT가 필요하지 않으면, 일반적인 NAT 서비스들을 수행하도록 설정되어 있는 Cisco IOS의 취약한 버전들을 가동중인 장비들은 5060의 출발지 혹은 목적지 포트들을 쓰는 UDP 트래픽을 차단함으로써 SIP 트래픽이 NAT 변환이 되지 않도록 해 주는 접근목록(Access List)을 간단하게 구현할 수 있다. 관련 URL (CVE) 관련 URL 6904 (SecurityFocus) 관련 URL 11379 (ISS)