保安警报(A16-02-04): Cisco 产品漏洞

描述:

Cisco 发布了安全公告，以应对于 Cisco 安全设备、虚拟设备和服务模块中发现的下列漏洞：

> Cisco ASA 软件IKEv1和IKEv2 缓冲区满溢漏洞

由于在受影响系统的缓冲区满溢漏洞，未通过认证的远程攻击者可向受影响装置传送特制的 UDP 封包来攻击这个漏洞。

受影响的系统:

• Cisco ASA 1000V云端防火墙
• Cisco ASA 5500系列自适型安全设备 (ASA)
• Cisco ASA 5500-X系列次世代防火墙
• Cisco Catalyst 6500 系列交换器和 7600 系列路由器适用的 ASA 服务模块
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco FirePOWER 9300 ASA 安全模块
• Cisco ISA 3000 工业安全设备
• 受到影响的系统其配置为终止IKEv1或IKEv2的VPN连接，包括LAN-to-LAN 的IPsec VPN，IPSec VPN客户使用端远程访问VPN，第2层隧   道协议（L2TP）-over的IPsec VPN连接和IKEv2的AnyConnect。

影响:

成功利用这个漏洞可以引致受影响装置重新启动、执行任意程序代码或控制受影响系统。

建议:

适用于受影响系统的修补程序已可获取。受影响系统的用户应遵从产品供应商的建议，立即采取行动以降低风险。有关修补程序的详细数据，请参阅供应商网站的相应安全公告中有关 “Fixed Software” 的部分。

进一步信息:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
https://www.hkcert.org/my_url/zh/alert/16021119
https://www.us-cert.gov/ncas/current-activity/2016/02/10/Cisco-Releases-Security-Update
http://www.kb.cert.org/vuls/id/327976
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1287