-
Im Rahmen des monatlichen Security Bulletins vom 11. Februar 2014 kündigte Microsoft 7 Security Bulletins zur Behebung von 31 Sicherheitslücken an. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms14-feb. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, eine Benutzerinteraktion erfordern, mithilfe von webbasierten Angriffen ausgenutzt werden (dazu gehören u. a. Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder mithilfe von E-Mail-Anhängen und Dateien, die in Netzwerkfreigaben gespeichert sind, ausgenutzt werden. Die folgende Liste enthält: Die folgende Liste enthält eine Schwachstelle, die die Auswirkungen auf das Netzwerk verringert. Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken. Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom Februar 2014 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS14-005, Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2916036): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2014-0266 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordert eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor zur Ausnutzung dieser Schwachstelle sind HTTP-Pakete, die normalerweise TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten Schutz für potenzielle Versuche, diese Schwachstelle auszunutzen. Informationen zur Konfiguration und Verwendung finden Sie im Cisco Security Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection.
Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Schutz für potenzielle Versuche, diese Schwachstelle auszunutzen. Informationen zur Konfiguration und Verwendung finden Sie im Cisco Security Whitepaper Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection.
Site-übergreifendes Skripting und Phishing könnten ebenfalls eingesetzt werden, um diese Schwachstelle auszunutzen. Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstelle finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
-
&nsbp;
-
Die Schwachstellen, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern oder durch webbasierte Angriffe ausgenutzt werden können (dazu gehören u. a. XSS, Phishing und webbasierte E-Mail-Bedrohungen), oder E-Mail-Anhänge sind in der folgenden Liste aufgeführt: Diese Schwachstellen werden am erfolgreichsten durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endgeräte-Schutzsoftware wie Cisco Security Agent Host Intrusion Prevention System (HIPS) oder Antivirus-Produkte am Endpunkt behoben.
Die Schwachstelle, die die Auswirkungen auf das Netzwerk hat, ist in der folgenden Liste aufgeführt: Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Mit der Cisco Adaptive Security Appliance der Serie ASA 5500, dem Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und dem Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 können Sie effektive Exploit-Präventionsmaßnahmen erzielen. Gehen Sie dazu wie folgt vor:- Protokollüberprüfung auf Anwendungsebene
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.
Die effektive Nutzung von Ereignisaktionen des Sourcefire Intrusion Prevention-Systems bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco ACE
- Cisco Intrusion Prevention System
- Sourcefire Intrusion Prevention-System
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden. Bei der Anwendungsinspektion werden sowohl IPv4- als auch IPv6-Pakete überprüft, die den in der Klassenzuordnung der Richtlinie definierten Paketen entsprechen.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene und zum Cisco Modular Policy Framework (MPF) finden Sie im Abschnitt Configuring Application Inspection in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.
HTTP-Anwendungsinspektion
Für MS14-005 können Administratoren mithilfe der HTTP-Prüfungs-Engine auf den Cisco Adaptive Security Appliances der Serie ASA 5500, den Cisco ASA Services-Modulen der Serie 6500 und dem Cisco Firewall Services-Modul reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Prüfklassen- und Prüfrichtlinienzuordnungen erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Bei der folgenden HTTP-Anwendungsüberprüfungskonfiguration wird Cisco MPF verwendet, um eine Richtlinie für die Überprüfung des Datenverkehrs auf den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Dies sind die Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsinspektionsrichtlinie verwirft Verbindungen, bei denen der HTTP-Antworttext einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das dieser Schwachstelle zugeordnet ist.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die Cisco Firewall-Technologien nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure regexes for the ActiveX Class ID !-- "f5078f39-c551-11d3-89b9-0000f81fe221" and !-- "f6d90f16-9c73-11d3-b32e-00c04f990bb4" ! That are associated to MS14-005 ! regex CLSID_MS14-005-1 "[fF]5078[fF]39[-][cC]551[-] 11[dD]3[-]89[bB]9[-]0000[fF]81[fF][eE]221" regex CLSID_MS14-005-2 "[fF]6[dD]90[fF]16[-]9[cC]73[-] 11[dD]3[-][bB]32[eE][-]00[cC]04[fF]990[bB][bB]4" ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any MS14-005_regex_class match regex CLSID_MS14-005-1 match regex CLSID_MS14-005-2 ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Feb_2014_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex class MS14-005_regex_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_Feb_2014_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Abschnitt Configuring Objects and ACLs (Konfigurieren von Objekten und ACLs) in Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.
Weitere Informationen zu HTTP-Anwendungsprüfungen und MPF finden Sie im Abschnitt HTTP-Prüfung in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.
Informationen zur Verwendung der Cisco Firewall-Kommandozeilenschnittstelle zur Messung der Wirksamkeit der Anwendungsinspektion finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.Cisco ACE
Eindämmung: Anwendungsprotokollüberprüfung
Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der das Cisco ACE-Gerät durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.
Weitere Informationen zur Prüfung von Anwendungsprotokollen finden Sie im Abschnitt Configuring Application Protocol Inspection im Security Guide vA5(1.0), Cisco ACE Application Control Engine.
HTTP Deep Packet Inspection
Zur Durchführung von HTTP Deep Packet Inspection für MS14-005 können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsprotokollprüfungsrichtlinie löscht Verbindungen, bei denen der HTTP-Inhalt eines der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das dieser Schwachstelle zugeordnet ist.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die die Cisco ACE Application Control Engine Appliance und das ACEM-Modul nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes for the !-- ActiveX Class ID !-- "f5078f39-c551-11d3-89b9-0000f81fe221" !-- and "f6d90f16-9c73-11d3-b32e-00c04f990bb4" !-- that are associated with MS14-005 ! ! class-map type http inspect match-any MS14-005_class match content ".*[fF]5078[fF]39[-][cC]551[-] 11[dD]3[-]89[bB]9[-]0000[fF]81[fF][eE]221.*" match content ".*[fF]6[dD]90[fF]16[-]9[cC]73[-] 11[dD]3[-][bB]32[eE][-]00[cC]04[fF]990[bB][bB]4.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http all-match MS_Feb_2014 class MS14-005_class reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_Feb_2014 class L4_http_class inspect http policy MS_Feb_2014 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Feb_2014
Weitere Informationen zur Verwendung der ACE-Kommandozeilenschnittstelle zur Messung der Wirksamkeit der Anwendungsinspektion finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Malicious Traffic Using Cisco ACE.Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstelle ausgenutzt werden soll.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2014 0254 S771 3742-0 Windows Surface RT IPv6 DoS Ja Mittel 80 CVE 2014 0267 S771 3746-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 90 CVE 2014 0269 S771 3748-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2014 0270 S771 3747-0 Microsoft Internet Explorer Remote Memory Corruption-Schwachstelle Ja Hoch 90 CVE 2014 0271 S771 3686-0 Microsoft Internet Explorer Remote Memory Corruption-Schwachstelle Ja Hoch 85 CVE 2014 0272 S771 3749-0 Microsoft Internet Explorer Remote Memory Corruption-Schwachstelle Ja Hoch 85 CVE 2014 0273 S771 3689-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2014 0274 S771 3687-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE-2014-0275 S771 3674-0 Microsoft Windows Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014 0276 S771 3678-0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014 0277 S771 3688-0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE-2014-0278 S771 3697-0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE-2014-0279 S771 3727-0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 90 CVE 2014 0281 S771 3741-0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 90 CVE 2014 0283 S771 3722-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Nein Hoch 85 CVE 2014 0284 S771 3726-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE-2014-0285 S771 3724-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE-2014-0286 S771 3725-0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Nein Hoch 85 CVE 2014 0287 S771 3684-0 Microsoft Internet Explorer Remote-Speicherbeschädigung Ja Hoch 85 CVE-2014-0288 S771 3693-0 Microsoft Internet Explorer: Speicherbeschädigung Nein Hoch 85 CVE-2014-0289 S771 3715-0 Microsoft Internet Explorer: Speicherbeschädigung Nein Hoch 85 CVE 2014-0290 S771 3717-0 Microsoft Internet Explorer: Speicherbeschädigung Nein Hoch 85 CVE 2014 0263 S771 3685-0 Microsoft Internet Explorer - Remote-Speicherbeschädigung Ja Hoch 85 CVE 2014 0266 S771 3695-0 Schwachstelle bei der Offenlegung von MSXML-Informationen Ja Hoch 85
* Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.Cisco Sourcefire-Signaturinformationen
Die folgenden Cisco Sourcefire Snort-Signaturen sind für das Microsoft Security Update vom Februar 2014 verfügbar:
Microsoft Advisory-ID Geltende Regeln MS14-005 1:29680 MS14-005
1:29681 MS14-005
1:29682 MS14-005
1:29683 MS14-005
1:29684 MS14-005
1:29685 MS14-005
1:29686 MS14-005
1:29687 MS14-005
1:29688 MS14-005
1:29689 MS14-005
1:29690 MS14-005
1:29691 MS14-005
1:29692 MS14-005
1:29693 MS14-005
1:29694 MS14-005
1:29695 MS14-005
1:29696 MS14-005
1:29697 MS14-005
1:29698 MS14-005
1:29699 MS14-005
1:29700 MS14-005
1:29701 MS14-005
1:29702 MS14-005
1:29703 MS14-005
1:29704 MS14-005
1:29705 MS14-006 1:29675 MS14-007 1:29713 MS14-007 1:29714 MS14-009
1:29715 MS14-010
1:29655 MS14-010
1:29667 MS14-010
1:29668 MS14-010
1:29671 MS14-010
1:29673 MS14-010
1:29674 MS14-010
1:29706
MS14-010
1:29707
MS14-010
1:29708
MS14-010
1:29709
MS14-010
1:29710 MS14-010
1:29711 MS14-010
1:29712 MS14-010
1:29716 MS14-010
1:29717 MS14-010
1:29718 MS14-010
1:29719 MS14-010
1:29720 MS14-010
1:29721 MS14-010
1:29722 MS14-010
1:29727 MS14-010
1:29728 MS14-010
1:29729 MS14-010
1:29730 MS14-010
1:29731 MS14-010
1:29732 MS14-010 1:29737 MS14-010 1:29738 MS14-010 1:29741 MS14-010 1:29742 MS14-010 1:29743 MS14-010 1:29744 MS14-011
1:23178 MS14-011 1:24296
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Version Beschreibung Abschnitt Datum 1 Warnmeldungsverlauf
Erstveröffentlichung11. Februar 2014, 18:55 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. .NET Framework 1,0 (SP3) | 1,1 (SP1) | 2,0 (SP2) | 3,5 (Basis, SP1) | 3.5.1 (Basis) | 4,0 (Basis) | 4,5 (Basis) | 4.5.1 (Basis) Internet-Explorer 6,0 (Basis, SP1, SP2) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 10,0 (Basis) | 11,0 (Basis) Microsoft VBScript 5,6 (Basis) | 5,7 (Basis) | 5,8 (Basis) Windows 7 für 32-Bit-Systeme (Base, SP1) | für x64-basierte Systeme (Basis, SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows 8.1 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) | 8.1 (Basis) Windows Server 2003 Datacenter Edition (Base, SP1, SP2) | Datacenter Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Datacenter Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Enterprise Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Standard Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Web Edition (Base, SP1, SP2) Windows Server 2008 Datacenter Edition (Base, SP1, SP2) | Datacenter Edition, 64-Bit (Basis, SP1, SP2) | Itanium-basierte Systems Edition (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-Bit (Base, SP1, SP2) | Essential Business Server Standard (Base, SP1, SP2) | Essential Business Server Premium (Base, SP1, SP2) | Essential Business Server Premium, 64-Bit (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-Bit (Base, SP1, SP2) | Webserver (Basis, SP1, SP2) | Webserver, 64-Bit (Basis, SP1, SP2) Windows Server 2008 R2 x64-basierte Systems Edition (Base, SP1) | Itanium-basierte Systems Edition (Base, SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows Server 2012 R2 Ursprüngliche Version (Basis) Forefront Protection 2010 für Exchange Server Ursprüngliche Version (Basis)
Zugehörige Produkte Microsoft, Inc. Windows 7 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8.1 für 32-Bit-Systeme | für x64-basierte Systeme Windows RT Ursprüngliche Version | 8,1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit Windows Server 2008 R2 x64-basierte Systems Edition | Itanium-basierte Systems Edition Windows Server 2012 Ursprüngliche Version Windows Server 2012 R2 Ursprüngliche Version Windows Vista Home Basic (Basis, SP1, SP2) | Home Premium (Basis, SP1, SP2) | Unternehmen (Basis, SP1, SP2) | Enterprise (Basis, SP1, SP2) | Ultimate (Basis, SP1, SP2) | Home Basic x64 Edition (Base, SP1, SP2) | Home Premium x64 Edition (Basis, SP1, SP2) | Business x64 Edition (Basis, SP1, SP2) | Enterprise x64 Edition (Base, SP1, SP2) | Ultimate x64 Edition (Base, SP1, SP2)
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.