正文

Cisco IOS WebVPN/SSLVPN远程拒绝服务漏洞

admin
admin V管理员 /0 评论 /10 阅读
0105
此篇文章发布距今已超过1279天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Cisco IOS WebVPN/SSLVPN远程拒绝服务漏洞

  • CNNVD编号:CNNVD-200909-120
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2009-0627
  • 漏洞类型: 资料不足
  • 发布时间: 2009-03-25
  • 威胁类型: 远程
  • 更新时间: 2009-09-09
  • 厂        商: cisco
  • 漏洞来源: Cisco安全公告

漏洞简介

Cisco IOS是美国思科(Cisco)公司为其网络设备开发的操作系统。

Cisco SSLVPN功能是增强版本的WebVPN功能,允许Internet中任意位置的用户远程访问企业站点。如果接收到了特制的HPPTS报文,配置了SSLVPN功能的设备可能重载或挂起。必须完成SSLVPN功能相关TCP端口的三重握手才可以成功利用这个漏洞,但无需认证。SSLVPN默认的TCP端口号为443。配置了SSLVPN的设备在处理异常断开的SSL会话时可能泄露TCB,持续攻击可能导致设备耗尽内存资源而崩溃。无需认证便可利用这个漏洞。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.cisco.com/warp/public/707/cisco-sa-20090325-webvpn.shtml

参考网址

来源: CISCO

名称: 20090908 TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080af511d.shtml

来源: SECTRACK

名称: 1022847

链接:http://www.securitytracker.com/id?1022847

受影响实体

  • Cisco Nx-Os:4.0  
    <!--
    2000-1-1
    -->

补丁

    暂无