Cisco patcht fünf Lücken in PIX und ASA
Bestimmte Pakete führen zu einen Neustart der Geräte. Die Access Control Lists sind unter Umständen nicht wirksam.
- Daniel Bachfeld
Cisco hat fünf Schwachstellen in seinen PIX-Appliances und der ASA-5500-Serie gemeldet. Präparierte TCP-ACK und TLS-Pakete können zu einem Neustart des Gerätes führen. Der Effekt tritt laut Bericht nur bei solchen Paketen auf, die direkt an das Gerät gerichtet sind, also etwa Management-Verkehr. Weitergeleitete Pakete verursachen das Problem nicht. Anders sieht dies aus, wenn Instant Messaging Inspection aktiviert ist. Hier können bestimmte weitergeleitete Pakete einen Reboot auslösen. Standardmäßig ist die Funktion aber abgeschaltet.
Zudem soll ein nicht näher beschriebener Schwachstellen-Scan auf Port 443 der PIXs und ASAs zu einem Denial-of-Service führen. Durch die fünfte Lücke ist es laut Cisco möglich, auf ein System über das Netz zuzugreifen, obwohl für die Control Plane eine Access Control List (ACL) definiert wurde. Das Problem tritt laut Beschreibung nach der erstmaligen Konfiguration auf. Auf diese Weise ließen sich die oben beschriebenen Pakete an das Gerät senden.
Welche Versionen genau welche Schwachstellen enthalten, führt Cisco in einer Liste im Originalfehlerbericht auf. Der Hersteller hat Updates für PIX und ASA zur Verfügung gestellt, die die Fehler nicht mehr enthalten.
Siehe dazu auch:
- Multiple Vulnerabilities in Cisco PIX and Cisco ASA, Fehlerbericht von Cisco
(dab)
