思科发布路由固件和操作系统补丁

安全漏洞：CN-VA 09-90
发布日期：2009年 9月27日
漏洞类型：拒绝服务
漏洞评估：严重
公开程度：公共

　思科公司9月23日 发布了重要的路由固件 和操作系统补丁。此次 一共发现了12款产品 中有安全漏洞，思科公 司就这些漏洞发布了1 1个安全漏洞公告。

漏洞描述： 
    *Cisco IOS对象组访问控制 列表绕过漏洞
    Cisco IOS软件存在漏洞， 当使用了基于ACL的 对象组时允许未授权攻 击者绕过访问控制策略 。

    *Cisco IOS HTTP(S)验证代 码授权绕过漏洞
    远程攻击者可 以利用漏洞在特定条件 下绕过验证访问应用系 统。

    *Cisco Unified Communicat ions Manager SIP消息拒绝服务漏 洞
    Cisco Unified Communicat ions Manager的SI P存在漏洞。当Cis co Unified Communicat ions Manager处理经 特殊构建的SIP消息 时可触发此漏洞。成功 利用漏洞可导致主Ci sco Unified Communicat ions Manager进程重 载。

    *Cisco Unified Communicat ions Manager Express可扩展 移动实现缓冲区溢出漏 洞
    Cisco Unified CME可扩展移动功能 的登录部分存在漏洞， 允许未授权攻击者执行 任意代码或进行拒绝服 务攻击。

    *Cisco IOS H.323拒绝服务漏 洞
    Cisco IOS软件中的H.3 23实现包含一个漏洞 ，攻击者可以发送一个 经特殊构建的h.32 3报文给运行Cisc o IOS软件的受影响设 备来触发此漏洞。

    *Cisco IOS基于域策略防火 墙SIP检测远程拒绝 服务漏洞
    配置了Cis co IOS基于域的策略防 火墙SIP检测的Ci sco IOS软件在处理特殊 的SIP传送报文时存 在拒绝服务漏洞。成功 利用此漏洞可导致受影 响设备重新启动。

    *Cisco IOS软件Inter net密钥交换资源耗 竭远程拒绝服务漏洞
    远程攻击者可以利用漏 洞对服务程序进行拒绝 服务攻击。

    *Cisco IOS NTPv4应答报文远 程拒绝服务漏洞
    当Cisco IOS软件设备支持N TPv4接收到特定的 NTP报文并在建立N TP应答报文时存在漏 洞，可导致服务程序崩 溃。

    *Cisco IOS SIP消息拒绝服务漏 洞
    当设备运行的Cisc o IOS映像包含Cis co Unified Border Element功能时 ，Cisco IOS软件的SIP存 在拒绝服务漏洞，通过 处理一系列经特殊构建 的SIP消息可触发此 漏洞。

    *Cisco IOS特殊构建加密报 文远程拒绝服务漏洞    
    远程攻击者可以利用漏 洞对服务程序进行拒绝 服务攻击。

    *Cisco IOS软件隧道多个拒 绝服务漏洞
    运行Cisco IOS软件和配置了G RE, IPinIP, Generic Packet Tunneling in IPv6或IPv6 over IP和Cisco快速 转发的设备，在交换特 殊构建的畸形报文时存 在漏洞，可导致设备重 载。

解决方案：

　　Cisco已经提 供了补丁，CNCER T提醒广大用户及时下 载更新。

参考信息：
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep09.html