Ciscos H.323-Implementierung für DoS-Attacken anfällig [Update]

Cisco hat in einem Security Advisory mehrere Schwachstellen in mehreren Produkten gemeldet, die das H.323-Protokoll für Internet-Telefonie unterstützen. Danach wurden die Probleme in Ciscos Betriebssystem IOS bei Tests mit einer Suite der University of Oulu Secure Programming Group (OUSPG) entdeckt. Mit der Suite lässt sich die Implementierung des H.323-Protokolls testen, insbesondere die Ruf-Signalisierung mit H.225 und Q.931. H.225 verwendet die Abstract Syntax Notation One (ASN.1), die auch schon bei OpenSSL zu kritischen Sicherheitslücken geführt hat.

Dementsprechend entdeckte man in der H.225-Implementierung auch die meisten Schwachstellen. Manipulierte H.225-Nachrichten bringen die betroffenen Produkte entweder zum Stillstand oder lösen einen Reboot aus. Betroffen sind alle Systeme ab IOS 11.3T mit H.323-Unterstützung, dazu kommen aber auch:

• Cisco CallManager 3.0 bis 3.3
• Cisco Conference Connection (CCC)
• Cisco Internet Service Node (ISN)
• Cisco BTS 10200 Softswitch
• Cisco 7905 IP Phone H.323 Software Version 1.00
• Cisco ATA 18x Serie mit H.323/SIP Version vor 2.16.1

Cisco weist darauf hin, dass auch Systeme verwundbar sind, die selbst keine H.323-Endpunkte sind, aber entsprechende Pakete zur Weiterleitung verarbeiten. Als Beispiele sind in der Meldung IOS NAT und IOS FW aufgeführt. Der Hersteller empfiehlt dringend eine fehlerbereinigte IOS-Version zu installieren. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.

[Update]

Das National Infrastructure Security Co-ordination Center (NISCC) weist in einem Vulnerability Advisory darauf hin, das die H.323-Implementierungen anderer Hersteller ebenfalls verwundbar sind, unter anderem Nortel, RADVISION und Fujitsu. Ein Patch für den H.323-Filter in Microsofts ISA-Server ist seit heute verfügbar.

Siehe dazu auch: (dab)

• Security Advisory von Cisco