安全 : 思科自适应安全设备 (ASA) 软件

ASA野兽漏洞解决方案

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述在允许未经授权的用户访问已保护内容的思科可适应安全工具(ASA) sowftware内的一个漏洞。此问题的应急方案也描述。

贡献用Atri巴苏, Loren Kolnes和Narendra Meka, Cisco TAC工程师。

问题

SSL/TLS (野兽)漏洞的浏览器检测安全漏洞代码由攻击者有效利用为了通过密码链块(CBC)加密模式(iv)有效读已保护内容连锁发送的初始化矢量与已知明文攻击。

攻击使用利用在用途广泛的传输层安全版本1的一个工具(TLSv1)协议的一个漏洞。问题没有于协议,然而相当使用的密码器套件根源。TLSv1和安全套接字协议层版本3 (SSLv3)支持CBC密码器,填充符Oracle攻击发生。 

用户影响

如表示的是由SSL脉冲SSL实施调查,已创建由值得信任互联网移动, 75% SSL服务器请是易受此漏洞。然而,物流涉及与野兽工具是相当复杂的。为了使用野兽窃听在流量,攻击者必须有能力非常迅速读和注入数据包。这潜在限制野兽攻击的有效目标。 例如,野兽攻击者能有效获取随机的流量在WIFI热点或所有互联网数据流通过网络网关的地方有限数量被堵塞。

解决方案

野兽是缺点的检测安全漏洞代码在协议使用的密码器的。因为它影响CBC密码器,此问题的原始应急方案是换成RC4密码器。然而,在2013年发布RC4条款的关键调度算法的缺点表示均等RC4有使不合适的一个缺点。

为了应急方案此问题,思科实现ASA的这两个修正:

  • Cisco Bug ID CSCts83720升级对TLS 1.1/1.2

    升级并且请使用TLS 1.1/1.2。与此解决方案的限制是仅适用于ASA 5500-X ASA平台。在传统ASA平台(ASA 5505和5500系列的ASA的加密硬件)不支持TLSv1.2。结果,这些平台的一个修正不可行。

    由于协议限制,没有SSLv3或TLSv1.0的解决方案;然而,多数现代浏览器实现缓解不同的方式。

  • Cisco Bug ID CSCuc85781WebVPN Cookie随机化

    对于不支持TLSv1.2的ASA软件版本,思科使Cookie随机以此修正为了减小风险。这完全不防止野兽攻击,但是帮助缓和他们。

提示: 从野兽漏洞完全保护的唯一方法是使用TLSv1.2。这类似于密码器。思科继续更新的添加,更加强的密码器用更新的代码,并且更旧的密码器也许有已知问题(例如RC4)。因此,思科建议您移动向更新的协议和密码器。 


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118854