-
Im Rahmen des monatlichen Security Bulletins vom 13. August 2013 kündigte Microsoft acht Security Bulletins zur Behebung von 23 Sicherheitslücken an. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms13-aug. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) und E-Mail-Anhängen ausgenutzt werden. Diese sind in der folgenden Liste aufgeführt:
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom August 2013 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS13-059, Kumulatives Sicherheits-Update für Internet Explorer (2862772): Diesen Schwachstellen wurden Common Vulnerabilities and Exposures (CVE) Identifiers CVE-2013-3184, CVE-2013-3186, CVE-2013-3186 zugewiesen 7, CVE-2013-3188, CVE-2013-3189, CVE-2013-3190, CVE-2013-3191, CVE-2013-3192, CVE-2 2013-3193, CVE-2013-3194 und CVE-2013-3199. Diese Schwachstellen können ohne Authentifizierung und ohne Benutzereingriff remote ausgenutzt werden. Der Angriffsvektor zur Ausnutzung dieser Schwachstellen sind HTTP-Pakete, die in der Regel TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
Erfolgreiche Ausnutzung der Schwachstellen in Zusammenhang mit CVE-2013-3184, CVE-2013-3187, CVE-2013-3188, CVE-2013-3189, CVE-2013-3 190, CVE-2013-3191, CVE-2013-3193, CVE-2013-3194 und CVE-2013-3199 ermöglichen die Ausführung von Remote-Code. Für diese Sicherheitslücken werden in diesem Bulletin keine Maßnahmen zur Eindämmung des Netzwerkausfalls angegeben.
Eine erfolgreiche Ausnutzung der Verwundbarkeit, die mit CVE-2013-3186 verbunden ist, kann die Privilegierung ermöglichen. In diesem Bulletin werden keine Netzwerkeinschränkungen für diese Schwachstelle dargestellt.
Eine erfolgreiche Ausnutzung der Schwachstelle, die mit CVE-2013-3192 in Verbindung steht, kann die Offenlegung von Informationen ermöglichen, sodass ein Angreifer Informationen über das betroffene Gerät erhalten kann. Site-übergreifendes Skripting und Phishing könnten ebenfalls eingesetzt werden, um diese Schwachstelle auszunutzen. Aufgrund der Art der Site-übergreifenden Skripting-Schwachstellen werden in diesem Bulletin keine zusätzlichen Informationen zu dieser Schwachstelle bereitgestellt.
Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstellen finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
MS13-060, Schwachstelle in Unicode Scripts Processor Could Allow Remote Code Execution (2850869): Dieser Schwachstelle wurde die CVE-Kennung CVE-2013-3181 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung per Fernzugriff ausgenutzt werden und erfordert eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung wird durch das Rendern einer erstellten Embedded OpenType (EOT)-Schriftart in Anwendungen wie Microsoft Internet Explorer, Microsoft Office PowerPoint oder Microsoft Office Word generiert. Die potenzielle Ausnutzung dieser Schwachstelle nutzt webbasierte Bedrohungen, und die Ausnutzung kann durch die Verwendung von HTTP-Paketen erfolgen, die in der Regel TCP-Port 80 verwenden, kann aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden. Diese Schwachstelle kann über webbasierte Bedrohungen (wie z. B. Site-übergreifendes Skripting, Phishing und webbasierte E-Mails), E-Mail-Anhänge und Dateien, die in Netzwerkfreigaben gespeichert sind, ausgenutzt werden.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500, das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 sowie die Cisco ACE Application Control Engine Appliance und das Modul bieten Schutz für potenzielle Versuche, diese Schwachstelle auszunutzen (ein Thema) , die in diesem Dokument enthalten ist).
MS13-064, Vulnerability in Direct Access Server Could Allow Denial of Service (2849568): Dieser Schwachstelle wurde die CVE-Kennung CVE-2013-3182 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor verwendet ICMPv6-Pakete. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten Schutz für potenzielle Versuche, diese Schwachstelle auszunutzen (ein Thema, das in diesem Dokument behandelt wird).
MS13-065, Vulnerability in ICMPv6 Could Allow Denial of Service (2868623): Dieser Schwachstelle wurde der CVE-Identifizierer CVE-2013-3182 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann zu einer DoS-Bedingung führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor verwendet ICMPv6-Pakete. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten Schutz für potenzielle Versuche, diese Schwachstelle auszunutzen (ein Thema, das in diesem Dokument behandelt wird).
-
Informationen zu anfälliger, nicht betroffener und korrigierter Software finden Sie in der Microsoft Security Bulletin Summary for August 2013 unter dem folgenden Link: http://www.microsoft.com/technet/security/bulletin/ms13-aug.mspx
-
Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) und E-Mail-Anhängen ausgenutzt werden. Diese sind in der folgenden Liste aufgeführt:
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunktschutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten hierfür mehrere Gegenmaßnahmen. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- IPv6-Unicast Reverse Path Forwarding (uRPF)
- IPv6 First-Hop-Sicherheit (FHS)
Diese Schutzmechanismen filtern und löschen die Quell-IP-Adresse von Paketen, die versuchen, die Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk haben, und überprüfen diese.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPv6 uRPF bietet einen effektiven Schutz vor Angriffen, die Pakete mit gefälschten Quell-IP-Adressen verwenden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPv6 First-Hop-Sicherheit (FHS) bietet einen effektiven Schutz vor Layer-2-IPv6-Angriffen, die zur Ausnutzung der MS13-064 und MS13-065 verwendet werden könnten. Weitere Einzelheiten zur Bereitstellung von FHS werden in diesem Dokument nicht dargestellt. Weitere Informationen zu FHS finden Sie unter IPv6 First-Hop-Sicherheit (FHS).
Da die Möglichkeit besteht, dass ein vertrauenswürdiger Netzwerk-Client durch bösartigen Code beeinträchtigt wird, der keine Pakete mit gefälschten Quelladressen verwendet, bieten IPv6 uRPF und FHS keinen vollständigen Schutz vor diesen Schwachstellen.
Eine effektive Exploit-Abwehr kann auch mit den Cisco Adaptive Security Appliances der Serie ASA 5500, dem Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und dem Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit den folgenden Methoden erreicht werden:
- Layer 3/Layer 4-Inspektion
- Protokollüberprüfung auf Anwendungsebene
Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten zudem mithilfe der Anwendungsprotokollüberprüfung einen effektiven Schutz vor Exploits.
Die Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM-Firewalls sowie die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die versuchen, diese Schwachstellen auszunutzen, wie weiter unten in diesem Dokument beschrieben.
Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco ACE
- Cisco Intrusion Prevention System
- Cisco Security Manager
Cisco IOS-Router und -Switches
Eindämmung: Spoofing-Schutz
Eindämmung: IPv6-Spoofing-Schutz mit Unicast Reverse Path Forwarding
Einige der in diesem Dokument beschriebenen Schwachstellen verfügen über Angriffsvektoren, die von gefälschten IPv6-Paketen ausgenutzt werden können. Die ordnungsgemäße Bereitstellung und Konfiguration von IPv6 Unicast Reverse Path Forwarding (uRPF) kann Schutzmechanismen für Spoofing bereitstellen, die mit den folgenden Schwachstellen zusammenhängen:
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Whitepaper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.
Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Wenn uRPF ordnungsgemäß in der gesamten Netzwerkinfrastruktur implementiert und konfiguriert ist, können Administratoren die Funktion show cef interface type slot/port internal, show ipv6 interface, show ipv6 cef switching statistics und show ipv6 traffic-Befehle verwenden,um die Anzahl der Pakete zu identifizieren, die uRPF verworfen hat.
Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ipv6 cef switching durch die Funktion show ipv6 cef switching statistics ersetzt.
Hinweis: Die Befehle show | begin regex und show command | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command in der Cisco IOS Configuration Fundamentals Command Reference.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0 router#
Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.
router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify IPv6 verify source reachable-via rx 0 verification drop(s) (process), 10 (CEF) 0 suppressed verification drop(s) (process), 0 (CEF) -- CLI Output Truncated -- router# router#show ipv6 cef switching statistics feature IPv6 CEF input features: Feature Drop Consume Punt Punt2Host Gave route RP LES Verify Unicast R 10 0 0 0 0 Total 10 0 0 0 0 -- CLI Output Truncated -- router# router#show ipv6 traffic | include RPF 10 RPF drops, 0 RPF suppressed, 0 forced drop router#
In der vorherigen Abbildung geben Sie cef interface type slot/port internal ein, show ipv6 interface type slot/port, show ipv6 cef switching statistics feature, and show ipv6 traffic example, uRPF has drop 10 IPv6-Pakete global an allen Schnittstellen empfangen, für die IPv6 uRPF konfiguriert ist, da die Quelladresse der IP-Pakete in der Datenbank für Weiterleitungsinformationen von Cisco Express Forwarding nicht verifiziert werden kann.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: ICMP-Inspektion
Für MS13-064 und MS13-065 können Administratoren mithilfe der Protokollprüfungs-Engine der Cisco Adaptive Security Appliances der Serie ASA 5500, der Cisco ASA Services Module der Serie 6500 und des Cisco Firewall Services-Moduls mithilfe von Klassenzuordnungen und Richtlinienzuordnungen die Layer-3-/Layer-4-Prüfung konfigurieren. Diese Methoden können zum Schutz vor spezifischen Schwachstellen wie CVE-2013-3182 und CVE-2013-3183 beitragen. Bei der folgenden ICMP-Prüfkonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Prüfung von ICMP-Datenverkehr zu erstellen. Die ICMP-Inspektionsrichtlinie verwirft Verbindungen, bei denen die ICMPv6-Pakete nicht auf legitime ICMPv6-Anfragen reagieren. Bei der folgenden Konfiguration wird davon ausgegangen, dass ICMPv6-Pakete, die von der externen Schnittstelle initiiert und für anfällige Geräte innerhalb der Firewall bestimmt sind, so konfiguriert werden, dass sie von der Zugriffsliste, die auf die externe Schnittstelle angewendet wird, gelöscht werden.
! !-- Configure ICMP inspection to drop ICMP packets associated !-- with MS13-064 and MS13-065 ! policy-map global_policy class inspection_default inspect icmp inspect icmp error service-policy global_policy global
Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Using Modular Policy Framework (Modulares Richtlinien-Framework verwenden) des Konfigurationsleitfadens für die Cisco ASA 5500-Serie unter Verwendung der CLI, 8.2 und des Abschnitts Configuring a Service Policy (Konfigurieren einer Servicerichtlinie) des Konfigurationsleitfadens für ASA-Module der Cisco Catalyst 65000-Serie, 8.4.
Identifikation: ICMP-Inspektion
Die Firewall-Syslog-Meldung 106014 wird generiert, wenn eine Zugriffsliste ein ICMPv6-Paket ablehnt. Die Syslog-Meldung identifiziert den entsprechenden ICMPv6-Typ und -Code sowie die Quelle und das Ziel des verworfenen Pakets. Weitere Informationen finden Sie unter Cisco ASA 5500 Series System Log Message, 8.2 - 415.006.
Die Firewall-Syslog-Meldungen 31304 und 31305 werden generiert, wenn eine ICMP-Nachricht durch Sicherheitsüberprüfungen verworfen wird, die von der zustandsbehafteten ICMP-Funktion hinzugefügt wurden. Bei diesen Meldungen handelt es sich in der Regel entweder um ICMP-Echoantworten ohne gültige Echoanfrage, die bereits über die ASA weitergeleitet wurde, oder um ICMP-Fehlermeldungen, die sich nicht auf bereits in der Firewall eingerichtete TCP-, UDP- oder ICMP-Sitzungen beziehen. Weitere Informationen finden Sie unter Cisco ASA 5500 Series System Log Message, 8.2 - 31304.
Die Firewall-Syslog-Meldung 313.009 wird generiert, wenn eine ICMP-Meldung durch die von der zustandsbehafteten ICMP-Funktion hinzugefügten Sicherheitsüberprüfungen verworfen wird. Bei diesen Meldungen handelt es sich in der Regel entweder um ICMP-Echoantworten ohne gültige Echoanfrage, die bereits über die ASA weitergeleitet wurde, oder um ICMP-Fehlermeldungen, die sich nicht auf bereits in der Firewall eingerichtete TCP-, UDP- oder ICMP-Sitzungen beziehen. Weitere Informationen finden Sie unter Cisco ASA 5500 Series System Log Message, 8.2 - 313.009.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep icmp|ICMP extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstellen auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.
firewall#show logging | grep icmp|ICMP Aug 13 2013 14:35:54: %ASA-3-106014: Deny inbound icmp src outside:2001:db8:1:100::1 dst inside:2001:db8:60::1 (type 1, code 0)] Aug 13 2013 14:35:55: %ASA-4-313004:Denied ICMP type=9, from 2001:db8:1:100::1 on interface outside to inside:2001:db8:60::4 no matching session
Bei aktivierter ICMP-Inspektion identifiziert der Befehl show service-policy die Anzahl der ICMP-Pakete, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy:
firewall# show service-policy Global policy: Service-policy: global_policy Class-map: inspection_default Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0 Inspect: ftp, packet 0, drop 0, reset-drop 0 Inspect: rsh, packet 0, drop 0, reset-drop 0 Inspect: sunrpc, packet 0, drop 0, reset-drop 0 Inspect: tftp, packet 0, drop 0, reset-drop 0 tcp-proxy: bytes in buffer 0, bytes dropped 0 Inspect: icmp, packet 110, drop 20, reset-drop 0 Inspect: icmp error, packet 20, drop 11, reset-drop 0
Im vorherigen Beispiel wurden 130 ICMP-Pakete geprüft und 31 Pakete verworfen.
Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Dies geschieht durch die Konfiguration von Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen, die mithilfe einer globalen Richtlinie oder einer Schnittstellendienstrichtlinie angewendet werden.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Configuring Application Layer Protocol Inspection des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 and the Configuring Application Inspection section of the Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.
HTTP-Anwendungsinspektion
Für MS13-060 können Administratoren mithilfe der HTTP-Prüfungs-Engine auf den Adaptive Security Appliances der Serie Cisco ASA 5500, den ASA Services Modules der Serie Cisco 6500 und dem Firewall Services Module von Cisco reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Prüfklassen- und Prüfrichtlinienzuordnungen erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen wie CVE-2013-3181 und anderen Bedrohungen beitragen, die mit dem HTTP-Datenverkehr in Verbindung stehen können. Bei der folgenden HTTP-Anwendungsinspektionskonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Inspektion des Datenverkehrs an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Diese sind die Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsinspektionsrichtlinie verwirft Verbindungen, bei denen der HTTP-Antworttext einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Sicherheitslücken verknüpft ist.Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die Cisco Firewall-Technologien verwenden, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure a case-insensitive (upper and lower case) regex !-- that matches the file extension of ".eot" that is typically !-- associated with Embedded OpenType (EOT) font files that are !-- associated with MS13-060 ! regex MS13-060_regex ".+\x2e[Ee][Oo][Tt]" ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Aug_2013_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex MS13-060_regex drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_Aug_2013_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 for Configuring Object Groups and the Configuring Objects and Access Lists im Cisco Catalyst ASA Services Module CLI Configuration Guide, 8.5.
Weitere Informationen zur HTTP-Anwendungsinspektion und zur MPF finden Sie im Abschnitt HTTP Inspection Overview des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2.
Identifikation: Application Layer Protocol Inspection
Die Firewall-Syslog-Meldung 41506 wird generiert, wenn der URI mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 415.006.
Die Firewall-Syslog-Meldung 41507 wird generiert, wenn ein HTTP-Nachrichtentext mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 415.007.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstellen auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
HTTP-Anwendungsinspektion
firewall#show logging | grep 415007 Aug 13 2013 14:35:54: %ASA-5-415007: HTTP - matched match response body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body matched - Dropping connection from inside:192.168.60.85/2130 to outside:192.0.2.63/80 Aug 13 2013 14:35:55: %ASA-5-415007: HTTP - matched match response body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body matched - Dropping connection from inside:192.168.60.86/2133 to outside:192.0.2.63/80
Bei aktivierter HTTP-Anwendungsprüfung identifiziert der Befehl show service-policy inspect protocol die Anzahl der HTTP-Pakete, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy inspect http:
firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http MS_Aug_2013_policy, packet 5025, drop 20, reset-drop 0 protocol violations packet 0 match response body regex MS13-060_regex drop-connection log, packet 13
Im vorherigen Beispiel wurden 5.025 HTTP-Pakete überprüft und 13 HTTP-Pakete verworfen.
Cisco ACE
Eindämmung: Anwendungsprotokollüberprüfung
Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der das Cisco ACE-Gerät durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.
Weitere Informationen zur Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.
HTTP Deep Packet Inspection
Zur Durchführung von HTTP Deep Packet Inspection für MS13-060 können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen wie CVE-2013-3181 und anderen Bedrohungen beitragen, die mit dem HTTP-Datenverkehr in Verbindung stehen können. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsprotokollprüfungsrichtlinie verwirft Verbindungen, bei denen der HTTP-Inhalt eines der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Schwachstellen verknüpft ist.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die die Cisco ACE Application Control Engine Appliance und das ACEM-Modul nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes !-- that are associated with this vulnerability: !-- MS10-091 File Extension: regex matches the file !-- extension of ".eot" that is typically associated !-- with Embedded OpenType (EOT) font files ! class-map type http inspect match-any MS13-060-class match url .*.+\x2e[Ee][Oo][Tt].* ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http all-match MS_Aug_2013 class MS13-060-class reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_Aug_2013 class L4_http_class inspect http policy MS_Aug_2013 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Aug_2013
Identifizierung: Anwendungsprotokollüberprüfung
HTTP Deep Packet Inspection
Die Cisco ACE Application Control Engine-Syslog-Meldung 41506 wird generiert, wenn der URI mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie im Cisco ACE 4700 Series Appliance System Message Guide - System Message 41506.
Die Cisco ACE Application Control Engine-Syslog-Meldung 41507 wird generiert, wenn ein HTTP-Nachrichtentext mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie im Cisco ACE 4700 Series Appliance System Message Guide - System Message 41507.
ACE/Admin# show logging | include 415007
Aug 13 2013 15:26:43: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map L4_MS_Aug_2013, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a Aug 13 2013 15:30:33: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map L4_MS_Aug_2013, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3cWenn die HTTP-Deep-Packet-Inspection aktiviert ist, identifiziert der Befehl show service-policy, policyName detail, die Anzahl der HTTP-Verbindungen, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy L4_MS_Aug_2013 detail:
ACE/Admin# show service-policy L4_MS_Aug_2013 detail Status : ACTIVE Description: ----------------------------------------- Context Global Policy: service-policy: L4_MS_Aug_2013 class: L4_http_class inspect http: L7 inspect policy : MS_Aug_2013 Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 L7 Inspect policy : MS_Aug_2013 class/match : MS13-060-class Inspect action : reset log Total Inspected : 2 , Total Matched: 1 Total Dropped OnError: 0
Im vorherigen Beispiel wurden 2 HTTP-Verbindungen überprüft, und 1 HTTP-Verbindung wurde getrennt.
Weitere Informationen über die HTTP Deep Packet Inspection und die Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.
Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2013-3182 S734 2600/0 Windows 2012 Server Denial of Service-Schwachstelle Ja Hoch 95 CVE 2013-3189 S734 2610/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 80 CVE 2013-3199 S734 2633/0 Microsoft Internet Explorer - Remote-Speicherbeschädigung Ja Hoch 85 CVE 2013-3181 S734 2634/0 Microsoft Internet Explorer - Remote-Speicherbeschädigung Ja Hoch 85 CVE 2013-3193 S734 2637/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013-3194 S734 2638/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013-3184 S734 2639/0 Microsoft Windows Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013-3188 S734 31337/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 85 CVE 2013-3191 S734 2647/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 90 CVE 2013 1307 S734 2646/0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 90 * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Cisco IPS-Signaturereignisdaten
Die folgenden Daten wurden mithilfe von Remote Monitoring Services zusammengestellt, die vom Cisco Remote Management Services-Team aus einer Beispielgruppe von Cisco IPS-Sensoren bereitgestellt wurden, auf denen Cisco IPS Signature Update Version S734 oder höher ausgeführt wird. Zweck dieser Daten ist es, Einblick in die Versuche zu gewähren, die Schwachstellen auszunutzen, die im Rahmen des Microsoft August Security Updates vom 13. August 2013 veröffentlicht wurden. Diese Daten stammen von Ereignissen, die am 19. August 2013 ausgelöst wurden.
CVE-ID Signature-ID Prozentsatz der Sensoren, die die Signatur melden Prozentsatz der Sensoren, die die Signatur unter den zehn meistgesehenen Ereignissen melden CVE 2013-3182 2600/0 0 0 CVE 2013-3189 2610/0 0 0 CVE 2013-3199 2633/0 0 0 CVE 2013-3181 2634/0 0 0 CVE 2013-3193 2637/0 0 0 CVE 2013-3194 2638/0 0 0 CVE 2013-3184 2639/0 0 0 CVE 2013-3188 31337/0 0 0 CVE 2013-3191 2647/0 0 0 CVE 2013 1307 2646/0 0 0
Cisco Security Manager
Identifikation: Cisco Security Manager
Cisco Security Manager, Ereignisanzeige
Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit den in diesem Dokument beschriebenen Sicherheitslücken zusammenhängen.
Über die vordefinierte IPS-Ereignisanzeige in der Ereignisanzeige kann der Benutzer die Suchzeichenfolge eingeben
- 2600/0
- 2610/0
- 2633/0
- 2634/0
- 2637/0
- 2638/0
- 2639/0
- 31337/0
im Ereignisfilter, um alle erfassten Ereignisse im Zusammenhang mit der Cisco IPS-Signatur zurückzugeben
- 2600/0
- 2610/0
- 2633/0
- 2634/0
- 2637/0
- 2638/0
- 2639/0
- 31337/0
Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht "Firewall Denied Events" (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Syslog-Meldungen "ASA-4-415007" (HTTP-Inspektion) bereitzustellen, die auf potenzielle Versuche hinweisen, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.
Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.
Cisco Security Manager Report Manager
Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.
Mithilfe des Berichts-Managers kann der Benutzer einen IPS-Bericht mit den besten Signaturen für die von ihm betroffenen Cisco IPS-Geräte basierend auf Zeitbereich und Signatureigenschaften definieren. Wenn die Signature-ID auf
- 2600/0
- 2610/0
- 2633/0
- 2634/0
- 2637/0
- 2638/0
- 2639/0
- 31337/0
Weitere Informationen zu Cisco Security Manager IPS Event Reporting finden Sie im Abschnitt Understanding IPS Top Reports im Cisco Security Manager User Guide.
Identifikation: Event Management System - Partnerveranstaltungen
Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und getesteter SIEM-Systeme, die geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte bewältigen. Partnerprodukte für das Security Information and Event Management können zum Erfassen von Ereignissen von Cisco Geräten und anschließenden Abfragen der erfassten Ereignisse nach Vorfällen verwendet werden, die durch eine Cisco IPS-Signatur verursacht wurden, oder Syslog-Meldungen von Firewalls verweigern, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:
- 2600/0 Windows 2012 Server Denial of Service Schwachstelle
- 2610/0 Microsoft Internet Explorer - Remote-Codeausführung
- 2633/0 Microsoft Internet Explorer Remote-Speicherbeschädigung
- 2634/0 Microsoft Internet Explorer Remote-Speicherbeschädigung
- 2637/0 Microsoft Internet Explorer - Remote-Codeausführung
- 2638/0 Microsoft Internet Explorer Speicherbeschädigung
- 2639/0 Microsoft Windows Internet Explorer Speicherbeschädigung
- 31337/0 Microsoft Internet Explorer: Remote-Codeausführung
- ASA-4-415007 (HTTP-Inspektion)
Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Version Beschreibung Abschnitt Datum 3 IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 19. August 2013 verfügbar. 26. August 2013, 13:38 Uhr GMT 2 IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 15. August 2013 verfügbar. 16. August 2013, 20:27 Uhr GMT 1 Cisco Applied Mitigation Bulletin (erste öffentliche Version) 13. August 2013, 18:10 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. Internet-Explorer 6,0 (Basis) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 10,0 (Basis) Windows 7 für 32-Bit-Systeme (SP1) | für x64-basierte Systeme (SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (SP2) | Itanium-basierte Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-Bit (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (SP2) | Webserver (SP2) | Webserver, 64-Bit (SP2) Windows Server 2008 R2 x64-basierte Systems Edition (SP1) | Itanium-basierte Systems Edition (SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Unternehmen (SP2) | Unternehmen (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2) Oracle Corporation Oracle Fusion Middleware 8,3 (0,7) | 8,4 (.0, .1)
Zugehörige Produkte Microsoft, Inc. Exchange-Server 2007 (SP3) | 2010 (SP2) | 2013 (CU1, CU2) Windows 7 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8 für 32-Bit-Systeme | für x64-basierte Systeme Windows RT Ursprüngliche Version Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit Windows Server 2008 R2 x64-basierte Systems Edition | Itanium-basierte Systems Edition Windows Server 2012 Ursprüngliche Version Windows Vista Home Basic | Home Premium | Unternehmen | Unternehmen | Ultimativ | Home Basic x64 Edition | Home Premium x64 Edition | Business x64-Edition | Enterprise x64 Edition | Ultimative x64-Edition
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.