思科公司日前發(fā)布了多款安全補(bǔ)丁，旨在對使用其Adaptive Security Appliance(簡稱ASA，意為自適應(yīng)安全設(shè)備)軟件的產(chǎn)品以及思科Catalyst 6500系列與思科7600系列路由器加以保護(hù)，使其免受驗(yàn)證旁路、命令執(zhí)行以及拒絕服務(wù)等攻擊活動的侵?jǐn)_。

思科發(fā)布了其ASA軟件的最新版本，希望借此解決與一系列組件相關(guān)的六種拒絕服務(wù)漏洞以及存在于遠(yuǎn)程訪問服務(wù)當(dāng)中的三種驗(yàn)證旁路漏洞。

攻擊者有可能借此實(shí)現(xiàn)設(shè)備重新載入，進(jìn)而利用IPsec VPN服務(wù)在ICMP數(shù)據(jù)包處理機(jī)制中產(chǎn)生的漏洞實(shí)施拒絕服務(wù)攻擊。思科公司在本周三的一份安全公告中表示，除了IPsec VPN服務(wù)，同樣存在安全漏洞的組件還包括SQL*Net檢測引擎、HTTP深層數(shù)據(jù)包檢測代碼、DNS檢查或者無客戶端SSL VPN。

此外，惡意人士還能夠利用數(shù)字證書或者遠(yuǎn)程訪問VPN驗(yàn)證規(guī)程中的缺陷，通過思科ASDM(即自適應(yīng)安全設(shè)備管理)訪問互聯(lián)網(wǎng)或者獲取對受影響系統(tǒng)的管理訪問權(quán)限，該公司補(bǔ)充稱。

受影響的思科ASA軟件版本被廣泛應(yīng)用于思科ASA 5500系列自適應(yīng)安全設(shè)備、思科ASA 5500-X下一代防火墻以及專門針對思科Catalyst 6500系列交換機(jī)、思科7600系列路由器外加思科ASA 1000V云防火墻的思科ASA服務(wù)模塊當(dāng)中。

不過，并不是所有版本都受到了這些安全漏洞的影響。為了確定哪些漏洞會影響到哪些設(shè)備上的哪個特定版本，進(jìn)而核實(shí)應(yīng)該升級至哪個版本，客戶朋友們需要通過咨詢獲取一切官方說明列表。

專門服務(wù)于校園主干網(wǎng)絡(luò)以及大型企業(yè)分支機(jī)構(gòu)的思科Catalyst 6500系列交換機(jī)以及運(yùn)營商級網(wǎng)絡(luò)邊界產(chǎn)品思科7600系列路由器也受到影響，造成問題的是來自思科FWSM(即防火墻服務(wù)模塊)中的兩項(xiàng)漏洞。

其中一項(xiàng)漏洞允許攻擊者在FWSM軟件被配置為多背景模式時在系統(tǒng)中執(zhí)行命令。一旦此漏洞被成功利用，系統(tǒng)的保密性、賽事性以及可用性很可能遭受全面影響——思科公司本周三在一份單獨(dú)公告當(dāng)中做出了這樣的描述。

另一項(xiàng)FWSM漏洞與SQL*Net檢測引擎的安全缺陷一樣，會影響ASA并有可能導(dǎo)致受影響設(shè)備重新載入，進(jìn)而帶來拒絕服務(wù)狀況。需要強(qiáng)調(diào)的是，只有SQL*Net處于啟用狀態(tài)下時，設(shè)備才會受到這一漏洞的影響。

三種ASA與FWSM拒絕服務(wù)漏洞的解決方法都已經(jīng)出爐，并被羅列于相關(guān)公告當(dāng)中。為了解決其它安全問題，客戶們需要將軟件更新到與其部署方案相匹配的最新版本。

根據(jù)思科方面的說法，所有于本周三被修復(fù)的安全漏洞都是在其處理客戶支持事務(wù)時發(fā)現(xiàn)的，而且該公司的產(chǎn)品安全應(yīng)急團(tuán)隊(duì)并未發(fā)現(xiàn)這些漏洞被公開披露或者被用于實(shí)現(xiàn)任何惡意目的。