[Sec-cert] DFN-CERT-2014-0216 Cisco IPS: Mehrere Schwachstellen ermöglichen Denial-of-Service [Netzwerk][Cisco]

portal at dfn-cert.de portal at dfn-cert.de
Fr Feb 21 11:45:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Cisco ASA 5500-X IPS SSP Software <= 7.1
  IPS Sensor Software <= 7.1(4)E4
  

Betroffene Plattformen:

  Cisco ASA 5500-X IPS SSP Software
  IPS Sensor Software
  Cisco ASA 5500
  Cisco ASA 5500-X
  Cisco ASA 5505
  Cisco IPS 4240 Sensor
  Cisco IPS 4250 SX Sensor
  Cisco IPS 4255 Sensor
  Cisco IPS 4260 Sensor
  Cisco IPS 4270-20 Sensor
  Cisco IPS 4345 Sensor
  Cisco IPS 4360 Sensor
  Cisco IPS 4510 Sensor
  Cisco IPS 4520 Sensor
  


Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstellen
ausnutzen und dadurch einen Denial-of-Service bewirken.


Patch:

  Cisco Advisory cisco-sa-20140219-ips

  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ips>


CVE-2014-0720: Schwachstelle in Cisco IPS Jumbo Frame

  Eine Schwachstelle in Cisco IPS Jumbo Frame besteht darin, dass Jumbo Frames
  nicht korrekt behandelt werden, wenn diese mit hoher Rate gesandt werden.
  Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
  ausnutzen, indem er Jumbo Frames mit hoher Rate durch das Sensor-Interface
  sendet. Dieses führt dazu, dass der Analysis Engine-Prozess nicht mehr
  antwortet, d.h. das betroffene System hört auf den Datenstrom zu
  inspizieren.


CVE-2014-0719: Schwachstelle in Cisco IPS Control-Plane

  Eine Schwachstelle in der Implementierung der Control-Plane Zugriffsliste
  der Cisco IPS Software besteht in einer fehlerhaften Behandlung von nicht
  korrekt gestalteten ("malformed") TCP-Paketen, wenn diese an die Management
  IP-Adresse des betroffenen Systems gesandt werden. Ein entfernter, nicht
  authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er
  speziell gestaltete TCP-Pakete an den TCP-Port 7000 der Management
  IP-Addresse sendet, wodurch in der Folge der MainApp-Prozess nicht mehr
  antwortet. Das bewirkt einen Denial-of-Service-Zustand, da der Cisco IPS
  Sensor nicht mehrere kritische Aufgaben gleichzeitig bearbeiten kann und
  auch der Cisco IPS Webserver in der Folge nicht mehr antwortet. Zusätzlich
  zu diesem Systemausfall arbeiten möglicherweise auch andere Prozesse der
  Analysis Engine nicht mehr korrekt.


CVE-2014-0718: Schwachstelle in Cisco IPS Analysis Engine

  Eine Schwachstelle in der Cisco Intrusion Prevention System (IPS) Software
  besteht in der fehlerhaften Behandlung von fragmentierten Paketen, wenn
  "produce-verbose-alert" aktiviert ist. Ein entfernter, nicht authentisierter
  Angreifer kann diese Schwachstelle ausnutzen, indem er fragmentierte Pakete
  sendet und dabei eine Signatur oder ein Ereignis ansteuert, für das
  "produce-verbose-alert" konfiguriert ist. Das bewirkt, dass das betroffene
  System aufhört, den Netzwerk-Traffic zu inspizieren.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0216/>

Cisco Advisory cisco-sa-20140219-ips:
  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ips>

Schwachstelle CVE-2014-0719 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0719>

Schwachstelle CVE-2014-0718 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0718>

Schwachstelle CVE-2014-0720 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0720>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140221/2c48053f/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert