English

◀◁ 뒤로 취약점ID 29062 위험도 40 포트 161 프로토콜 UDP 분류 CISCO 상세설명 해당 Cisco IOS Firewall Feature Set은 ACL 우회 취약점(CISCO 버그 ID CSCdv48261)을 가지고 있다. 정확한 세션 인수들을 사용하여 이 취약점을 성공적으로 도용하면, 인가된 네트워크(trusted network)에 의해서만 액세스 가능한 프로세스들에게 임의의 데이터를 전달할 수 있다. 최악의 경우, 원격지의 공격자는 동적 액세스 목록(dynamic access list)을 우회(bypass)하고 보호받는 네트워크(protected network) 상의 호스트에 쌍방향(interactive) 세션을 맺게 해 줄 수도 있다. IOS 버전 11.2P에서 등장한 IOS Firewall Feature set은 Cisco 통합 보안 소프트웨어(Secure Integrated Software), 혹은 CBAC(Context Based Access Control)로 알려진 IP 기반의 Stateful Inspection 시스템이다. CBAC는 보호받는 네트워크로부터 어떤 세션이 시작될 때 그 세션에 대한 응답 트래픽(return traffic)의 허용을 위해 동적 액세스 목록에 새로운 엔트리를 생성한다. 그러나, 동적 액세스 목록에서 응답 트래픽을 검사할 때, 패킷의 발신지/목적지 주소와 포트들은 검사되지만 IP 프로토콜 타입은 검사되지 않는다. 이것은 동적 액세스 목록에 의해 거부되어져야 할 다른 프로토콜 타입의 패킷을 보호받는 네트워크로 허용해 줄 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/IOS-cbac-dynacl-pub.shtml http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113t/113t_3/firewall.htm http://www.kb.cert.org/vuls/id/362483 * 영향을 받는 플랫폼: CISCO IOS 11.2P CISCO IOS 11.3T CISCO IOS 12.0, 12.0T CISCO IOS 12.1, 12.1T, 12.1E CISCO IOS 12.2, 12.2T CISCO 라우터 시리즈 : 800, 820, 950, 1400, 1600, 1700, 2500, 2600, 3600, 4000 게이트웨이, 4224, 7100, 7200, 7400, 7500, SOHO 70, ubr900, ICS7750 CISCO IOS 소프트웨어가 탑재된 Catalyst 5000와 6000 해결책 다음 Cisco 보안 권고안의 "Software Versions and Fixes"를 참조하여 문제가 해결된 Cisco IOS 버전으로 업그레이드 하여야 한다: http://www.cisco.com/warp/public/707/IOS-cbac-dynacl-pub.shtml 업그레이드들은 Cisco 웹 사이트인 http://www.cisco.com 에 있는 Software Center를 통해 구할 수 있다. 관련 URL CVE-2001-0929 (CVE) 관련 URL 3588 (SecurityFocus) 관련 URL 7614 (ISS)