Cisco Applied Mitigation Bulletin: 2013년 8월 Microsoft 보안 공지 릴리스

업데이트:2016년 8월 6일 (토)
문서 ID:1470489857554119

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

Cisco Applied Mitigation 게시판

Cisco Applied Mitigation Bulletin: 2013년 8월 Microsoft 보안 공지 릴리스

문서 ID:
30338
최초 게시일:
2013년 8월 13일 18:10(GMT)
최종 업데이트:
2013년 8월 26일 13:38(GMT)
버전: 
3
CVE-2013-2393
CVE-2013-2556
CVE-2013-3175
기타...
CWE-94
CVE-2013-2393
CVE-2013-2556
CVE-2013-3175
기타...
CWE-94

Cisco의 대응

  • Microsoft는 2013년 8월 13일 월간 보안 게시판 릴리스의 일부로 23개 취약점을 다루는 8개의 보안 게시판을 발표했습니다. 이러한 게시판의 요약은 Microsoft 웹 사이트(http://technet.microsoft.com/en-us/security/bulletin/ms13-aug)에 있습니다. 이 문서에서는 관리자가 Cisco 네트워크 장치에 배포할 수 있는 식별 및 완화 기술을 제공합니다.

    클라이언트 소프트웨어 공격 벡터가 있고, 취약한 디바이스에서 로컬로 악용될 수 있으며, 사용자 상호 작용이 필요하거나, 웹 기반 공격(사이트 간 스크립팅, 피싱 및 웹 기반 이메일 위협을 포함하되 이에 제한되지 않음)과 이메일 첨부 파일을 사용하여 악용될 수 있는 취약성은 다음 목록에 나와 있습니다.

    네트워크 차단 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 네트워크 공격 벡터가 있는 취약성에 대한 여러 가지 대응 방법을 제공하며, 이에 대해서는 이 문서의 뒷부분에서 자세히 설명합니다.

    영향을 받는 제품과 영향을 받지 않는 제품에 대한 정보는 2013년 8월 Cisco Event Response: Microsoft Security Bulletin Release에서 참조되는 해당 Microsoft 자문 및 Cisco 알림을 통해 확인할 수 있습니다.

    또한 여러 Cisco 제품이 Microsoft 운영 체제를 기본 운영 체제로 사용하고 있습니다. 참조된 Microsoft 권고에 설명된 취약성의 영향을 받을 수 있는 Cisco 제품은 "제품 세트" 섹션의 "관련 제품" 테이블에 자세히 설명되어 있습니다.

취약성 특성

  • MS13-059, Cumulative Security Update for Internet Explorer(2862772): 이러한 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3184, CVE-2013-3186, CVE-2013-3187, CVE-2013-3188, CVE-2013-3190, CVE-2013-3191, CVE-201가 할당되었습니다 2013-3192, CVE-2013-3193, CVE-2013-3194 및 CVE-2013-3199. 이러한 취약점은 인증 및 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이러한 취약성을 악용하기 위한 공격 벡터는 HTTP 패킷을 통해 이루어지며, 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326도 사용할 수 있습니다.

    CVE-2013-3184, CVE-2013-3187, CVE-2013-3188, CVE-2013-3189, CVE-2013-3190, CVE-2013-3191, CVE-2013-3193, CVE-2013-3194 및 CVE-2013-3199와 관련된 취약성을 성공적으로 악용하면 원격 실행이 가능할 수 있습니다. 이 게시판에는 이러한 취약성에 대한 네트워크 완화 조치가 나와 있지 않습니다.

    CVE-2013-3186과 관련된 취약성을 성공적으로 악용하면 권한 상승이 가능할 수 있습니다. 이 취약성에 대한 네트워크 완화 사항은 이 게시판에 표시되지 않습니다.

    CVE-2013-3192와 관련된 취약성을 성공적으로 악용하면 정보 공개가 가능해져 공격자가 해당 디바이스에 대한 정보를 학습할 수 있습니다. 사이트 간 스크립팅 및 피싱도 이 취약성을 악용하는 데 사용될 수 있습니다. 사이트 간 스크립팅 취약성의 특성상 이 취약성에 대한 추가 정보는 이 게시판에 표시되지 않습니다.

    교차 사이트 스크립팅 공격 및 이러한 취약점을 공격하는 데 사용되는 방법에 대한 자세한 내용은 Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vector를 참조하십시오.

    MS13-060, Unicode Scripts Processor의 취약성으로 2850869(Remote Code Execution)을 허용할 수 있음: 이 취약성에는 CVE 식별자 CVE-2013-3181이 할당되었습니다. 이 취약점은 인증 없이 원격으로 악용될 수 있으며 사용자 상호 작용이 필요합니다. 이 취약성을 성공적으로 악용하면 임의의 코드 실행이 가능할 수 있습니다. 익스플로잇을 위한 공격 벡터는 Microsoft Internet Explorer, Microsoft Office PowerPoint 또는 Microsoft Office Word와 같은 애플리케이션에서 EOT(Embedded OpenType) 글꼴을 제작하여 렌더링하는 것입니다. 이 취약성에 대한 잠재적인 익스플로잇은 웹 기반 위협을 사용하며, 익스플로잇은 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326을 사용할 수 있는 HTTP 패킷을 사용하는 것일 수 있습니다. 이 취약점은 웹 기반 위협(사이트 간 스크립팅, 피싱, 웹 기반 이메일 포함, 이에 제한되지 않음), 이메일 첨부 파일, 네트워크 공유에 저장된 파일을 통해 악용될 수 있습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 Cisco FWSM(Firewall Services Module), Cisco ACE Application Control Engine Appliance 및 Module은 이 취약성을 악용하려는 잠재적 시도를 보호합니다(이 문서에 포함된 항목).

    MS13-064, Direct Access Server의 취약성으로 2849568(Denial of Service)를 허용할 수 있음: 이 취약성에는 CVE 식별자 CVE-2013-3182가 할당되었습니다. 이 취약성은 인증 없이, 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 공격 벡터는 ICMPv6 패킷을 사용합니다. 공격자는 스푸핑된 패킷을 사용하여 이 취약성을 악용할 수 있습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 Cisco FWSM(Firewall Services Module)은 이 취약성을 악용하려는 잠재적 시도를 보호합니다(이 문서에 포함된 주제).

    MS13-065, Vulnerability in ICMPv6 Allow Denial of Service (2868623): 이 취약성에는 CVE 식별자 CVE-2013-3182가 할당되었습니다. 이 취약성은 인증 없이, 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS 상태가 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 공격 벡터는 ICMPv6 패킷을 사용합니다. 공격자는 스푸핑된 패킷을 사용하여 이 취약성을 악용할 수 있습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 Cisco FWSM(Firewall Services Module)은 이 취약성을 악용하려는 잠재적 시도를 보호합니다(이 문서에 포함된 주제).

취약성 개요

완화 기법 개요

  • 클라이언트 소프트웨어 공격 벡터가 있고, 취약한 디바이스에서 로컬로 악용될 수 있으며, 사용자 상호 작용이 필요하거나, 웹 기반 공격(사이트 간 스크립팅, 피싱 및 웹 기반 이메일 위협을 포함하되 이에 제한되지 않음)과 이메일 첨부 파일을 사용하여 악용될 수 있는 취약성은 다음 목록에 나와 있습니다.

    이러한 취약점은 소프트웨어 업데이트, 사용자 교육, 데스크톱 관리 모범 사례, HIPS(Host Intrusion Prevention System) 또는 안티바이러스 제품과 같은 엔드포인트 보호 소프트웨어를 통해 엔드포인트에서 가장 성공적으로 완화됩니다.

    네트워크 차단 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 이러한 문제를 해결하기 위한 몇 가지 대응책을 제공합니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.

    Cisco IOS Software는 다음 방법을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.

    • IPv6 uRPF(Unicast Reverse Path Forwarding)
    • IPv6 FHS(First Hop Security)

    이러한 보호 메커니즘은 필터링 및 삭제를 수행하고 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷의 소스 IP 주소를 확인합니다.

    IPv6 uRPF의 올바른 구축 및 컨피그레이션은 스푸핑된 소스 IP 주소와 함께 패킷을 사용하는 공격에 대한 효과적인 보호 수단을 제공합니다. 유니캐스트 RPF는 가능한 한 모든 트래픽 소스에 가깝게 구축해야 합니다.

    IPv6 FHS(First Hop Security)를 적절하게 구축하고 구성하면 MS13-064MS13-065를 공격하는 데 사용할 수 있는 레이어 2 IPv6 공격을 효과적으로 차단할 수 있습니다. FHS 구축에 대한 자세한 내용은 이 문서에서 다루지 않습니다. FHS에 대한 자세한 내용은 IPv6 FHS(First Hop Security)를 참조하십시오.

    신뢰할 수 있는 네트워킹 클라이언트가 스푸핑된 소스 주소의 패킷을 사용하지 않는 악성 코드의 영향을 받을 가능성이 있으므로 IPv6 uRPF 및 FHS는 이러한 취약성에 대한 완벽한 보호를 제공하지 않습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 FWSM(Firewall Services Module)에서도 다음 방법을 사용하여 효과적인 익스플로잇 방지 기능을 제공할 수 있습니다.

    • Layer 3/Layer 4 검사
    • 애플리케이션 레이어 프로토콜 검사

    Cisco ACE Application Control Engine Appliance 및 Module에서는 애플리케이션 프로토콜 검사를 사용하여 효과적인 익스플로잇 방지를 제공할 수도 있습니다.

    Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM 방화벽, Cisco ACE Application Control Engine Appliance 및 Module은 show 명령 출력에 표시된 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.

    Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이 문서의 뒷부분에서 설명한 것처럼 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공합니다.

    또한 Cisco Security Manager는 인시던트, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수 있습니다.

위험 관리

  • 조직은 이러한 취약성의 잠재적 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

  • 주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.

    완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

    Cisco IOS 라우터 및 스위치

    완화: 스푸핑 보호

    완화: 유니캐스트 역방향 경로 전달을 사용하는 IPv6 스푸핑 보호

    이 문서에 설명된 일부 취약점에는 스푸핑된 IPv6 패킷으로 악용될 수 있는 공격 벡터가 있습니다. IPv6 uRPF(Unicast Reverse Path Forwarding)의 적절한 구축 및 컨피그레이션은 다음 취약성과 관련된 스푸핑을 위한 보호 메커니즘을 제공할 수 있습니다.

    uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 uRPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 사용자 지원 레이어 3 인터페이스의 인터넷 에지 및 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.

    uRPF 구성 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations 백서를 참조하십시오.

    식별: 유니캐스트 역방향 경로 전달을 사용하는 스푸핑 보호

    네트워크 인프라 전반에 걸쳐 uRPF가 올바르게 구축 및 구성된 경우 관리자는 show cef interface type slot/port internal, show ipv6 interface, show ipv6 cef switching statistics 기능 show ipv6 traffic 명령을 사용하여 uRPF에서 삭제된 패킷 수를 식별할 수 있습니다.

    참고: Cisco IOS Software Release 12.4(20)T부터 show ipv6 cef switching 명령show ipv6 cef switching statistics 기능으로 대체되었습니다.

    참고: show command | begin regex and show command | include regex!command modifiers는 관리자가 원하는 정보를 보기 위해 구문 분석해야 하는 출력의 양을 최소화하기 위해 다음 예에서 사용됩니다. 명령 수정자에 대한 자세한 내용은 Cisco IOS Configuration Fundamentals 명령 참조의 show 명령 섹션에 있습니다.

    router#show cef interface GigabitEthernet 0/0 internal | include drop
  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
  IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0
router#

    참고: show cef interface type slot/port internal은 CLI에서 완전히 입력해야 하는 숨겨진 명령입니다. 명령 완료를 사용할 수 없습니다.

    router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify

  IPv6 verify source reachable-via rx 
  0 verification drop(s) (process), 10 (CEF)
  0 suppressed verification drop(s) (process), 0 (CEF)
  --      CLI Output Truncated       --  
router#

router#show ipv6 cef switching statistics feature

IPv6 CEF input features:
Feature                       Drop   Consume   Punt   Punt2Host   Gave route
RP LES Verify Unicast R         10         0      0           0            0
Total                           10         0      0           0            0
    --      CLI Output Truncated       --  
router#

router#show ipv6 traffic | include RPF
         10 RPF drops, 0 RPF suppressed, 0 forced drop
router#

    앞의 show cef interface type slot/port internal에서 show ipv6 interface type slot/port, show ipv6 cef switching statistics feature, show ipv6 traffic examples, uRPF has dropped IPv6 패킷 10개 cisco Express Forwarding의 전달 정보 베이스 내에서 IP 패킷의 소스 주소를 확인할 수 없기 때문에 구성된 IPv6 uRPF가 있는 모든 인터페이스에서 전역적으로 수신되었습니다.


    Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽

    완화: ICMP 검사

    MS13-064MS13-065의 경우 Cisco ASA 5500 Series Adaptive Security Appliance, Cisco 6500 Series ASA Services Module 및 Cisco Firewall Services Module에서 프로토콜 검사 엔진을 사용하여 관리자는 클래스 맵 및 정책 맵을 사용하여 레이어 3/레이어 4 검사를 구성할 수 있습니다. 이러한 방법은 CVE-2013-3182 및 CVE-2013-3183과 같은 특정 취약성으로부터 보호하는 데 도움이 될 수 있습니다. 다음 ICMP 검사 컨피그레이션에서는 Cisco MPF(Modular Policy Framework)를 사용하여 ICMP 트래픽 검사를 위한 정책을 생성합니다. ICMP 검사 정책은 ICMPv6 패킷이 합법적인 ICMPv6 요청에 응답하지 않는 연결을 삭제합니다. 다음 컨피그레이션에서는 외부 인터페이스에서 시작하여 방화벽 내의 취약한 디바이스로 전달되는 ICMPv6 패킷이 외부 인터페이스에 적용되는 액세스 목록에 의해 삭제되도록 구성된다고 가정합니다.

    ! !-- Configure ICMP inspection to drop ICMP packets associated !-- with MS13-064 and MS13-065 ! 
policy-map global_policy
 class inspection_default
  inspect icmp 
  inspect icmp error

service-policy global_policy global

    애플리케이션 레이어 프로토콜 검사에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 Using Modular Policy Framework 섹션 using the CLI, 8.2Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.4Configuring a Service Policy 섹션에 있습니다.

    ID: ICMP 검사

    액세스 목록이 ICMPv6 패킷을 거부하면 방화벽 syslog 메시지 106014가 생성됩니다. syslog 메시지는 해당 ICMPv6 유형 및 코드뿐만 아니라 삭제된 패킷의 소스 및 목적지를 식별합니다. 자세한 내용은 Cisco ASA 5500 Series System Log Message, 8.2 - 415006을 참조하십시오.

    상태 기반 ICMP 기능에 의해 추가된 보안 검사에 의해 ICMP 메시지가 삭제될 경우 방화벽 syslog 메시지 313004 및 313005가 생성됩니다. 이러한 메시지는 일반적으로 ASA를 통해 이미 전달된 유효한 에코 요청 없는 ICMP 에코 응답 또는 방화벽에 이미 설정된 TCP, UDP 또는 ICMP 세션과 관련이 없는 ICMP 오류 메시지입니다. 자세한 내용은 Cisco ASA 5500 Series System Log Message, 8.2 - 313004를 참조하십시오.

    상태 저장 ICMP 기능에 의해 추가된 보안 검사에 의해 ICMP 메시지가 삭제될 때 방화벽 syslog 메시지 313009가 생성됩니다. 이러한 메시지는 일반적으로 ASA를 통해 유효한 에코 요청이 전달되지 않은 ICMP 에코 응답 또는 방화벽에 이미 설정된 TCP, UDP 또는 ICMP 세션과 관련이 없는 ICMP 오류 메시지입니다. 자세한 내용은 Cisco ASA 5500 Series System Log Message, 8.2 - 313009를 참조하십시오.

    Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에 대한 syslog 구성 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

    다음 예에서는 show logging | grep icmp|ICMP 이 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이러한 취약성을 악용하려는 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 관리자는 grep 키워드와 함께 다른 정규식을 사용하여 로깅된 메시지에서 특정 데이터를 검색할 수 있습니다.

    firewall#show logging | grep icmp|ICMP
  Aug 13 2013 14:35:54: %ASA-3-106014: Deny inbound icmp src outside:2001:db8:1:100::1 
         dst inside:2001:db8:60::1 (type 1, code 0)]
  Aug 13 2013 14:35:55: %ASA-4-313004:Denied ICMP type=9, from 2001:db8:1:100::1 
         on interface outside to inside:2001:db8:60::4 no matching session

    ICMP 검사가 활성화된 경우 show service-policy 명령은 이 기능에서 검사하고 삭제한 ICMP 패킷의 수를 식별합니다. 다음 예에서는 show service-policy 출력을 보여 줍니다.

    firewall# show service-policy 

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0
      Inspect: ftp, packet 0, drop 0, reset-drop 0
      Inspect: rsh, packet 0, drop 0, reset-drop 0
      Inspect: sunrpc, packet 0, drop 0, reset-drop 0
      Inspect: tftp, packet 0, drop 0, reset-drop 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: icmp, packet 110, drop 20, reset-drop 0
      Inspect: icmp error, packet 20, drop 11, reset-drop 0

    앞의 예에서는 130개의 ICMP 패킷이 검사되었고 31개의 패킷이 삭제되었습니다.

    완화: 애플리케이션 레이어 프로토콜 검사

    애플리케이션 레이어 프로토콜 검사는 Cisco ASA 5500 Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.2(1)부터, Cisco Catalyst 6500 Series ASA Services Module의 경우 소프트웨어 릴리스 8.5부터, Cisco Firewall Services Module의 경우 소프트웨어 릴리스 4.0(1)부터 사용할 수 있습니다. 이 고급 보안 기능은 방화벽을 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책에 의해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.

    애플리케이션 레이어 프로토콜 검사에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 Configuring Application Layer Protocol Inspection 섹션(CLI 사용) 8.2 및 Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide(8.5)Configuring Application Inspection 섹션을 참조하십시오.

    주의: 애플리케이션 레이어 프로토콜 검사로 방화벽 성능이 저하됩니다. 관리자는 이 기능이 프로덕션 환경에 구축되기 전에 랩 환경에서 성능에 미치는 영향을 테스트하는 것이 좋습니다.

    HTTP 애플리케이션 검사
    MS13-060의 경우 관리자는 Cisco ASA 5500 Series Adaptive Security Appliance, Cisco 6500 Series ASA Services Module 및 Cisco Firewall Services Module에서 HTTP 검사 엔진을 사용하여 패턴 일치를 위한 정규식(영역)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 CVE-2013-3181과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호합니다. 다음 HTTP 애플리케이션 검사 컨피그레이션에서는 Cisco MPF(Modular Policy Framework)를 사용하여 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326의 트래픽을 검사하기 위한 정책을 생성합니다. HTTP 애플리케이션 검사 정책은 HTTP 응답 본문이 이러한 취약성과 연결된 ActiveX 컨트롤과 일치하도록 구성된 리젠스 중 하나를 포함하는 연결을 삭제합니다.

    주의: 구성된 회귀는 HTML 응답 본문의 임의 위치에서 텍스트 문자열과 일치할 수 있습니다. ActiveX 컨트롤을 호출하지 않고 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 응용 프로그램이 영향을 받지 않도록 주의해야 합니다. regex 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

    Cisco 방화벽 기술을 사용하는 ActiveX 익스플로잇 및 완화에 대한 자세한 내용은 Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations 백서를 참조하십시오.

    ! !-- Configure a case-insensitive (upper and lower case) regex !-- that matches the file extension of ".eot" that is typically !-- associated with Embedded OpenType (EOT) font files that are !-- associated with MS13-060 ! 
regex MS13-060_regex ".+\x2e[Ee][Oo][Tt]"

! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map Webports_Class
 match access-list Webports_ACL
! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Aug_2013_policy
 parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !  body-match-maximum 1380
 match response body regex MS13-060_regex  
  drop-connection log  
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
policy-map global_policy
 class Webports_Class
  inspect http MS_Aug_2013_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

    객체 그룹의 컨피그레이션 및 사용에 대한 자세한 내용은 CLI를 사용하는 Cisco ASA 5500 Series Configuration Guide, 8.2 for Configuring Object GroupsCisco Catalyst 6500 Series ASA Services Module CLI 컨피그레이션 가이드, 8.5의 Configuring Objects and Access Lists 섹션을 참조하십시오.

    HTTP 애플리케이션 검사 및 MPF에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 CLI, 8.2를 사용한 HTTP Inspection Overview 섹션에 있습니다.

    ID: 애플리케이션 레이어 프로토콜 검사

    방화벽 syslog 메시지 415006은 URI가 사용자 정의 정규식과 일치할 때 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 415006에 있습니다.

    HTTP 메시지 본문 사용자 정의 정규식과 일치할 경우 방화벽 syslog 메시지 415007이 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 415007에 있습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에 대한 syslog 구성 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

    다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이러한 취약성을 악용하려는 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 관리자는 grep 키워드와 함께 다른 정규식을 사용하여 로깅된 메시지에서 특정 데이터를 검색할 수 있습니다.

    정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

    HTTP 애플리케이션 검사

    firewall#show logging | grep 415007
  Aug 13 2013 14:35:54: %ASA-5-415007: HTTP - matched match response 
         body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body 
         matched - Dropping connection from inside:192.168.60.85/2130 
         to outside:192.0.2.63/80
  Aug 13 2013 14:35:55: %ASA-5-415007: HTTP - matched match response 
         body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body 
         matched - Dropping connection from inside:192.168.60.86/2133 to 
         outside:192.0.2.63/80

    HTTP 애플리케이션 검사가 활성화된 상태에서 show service-policy inspect protocol 명령은 이 기능에 의해 검사되고 삭제된 HTTP 패킷의 수를 식별합니다. 다음 예에서는 show service-policy inspect http의 출력을 보여 줍니다.

    firewall# show service-policy inspect http
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
    Class-map: Webports_Class
      Inspect: http MS_Aug_2013_policy, packet 5025, drop 20, reset-drop 0
       protocol violations
          packet 0        
       match response body regex MS13-060_regex
         drop-connection log, packet 13

    앞의 예에서는 5025개의 HTTP 패킷이 검사되었고 13개 HTTP 패킷이 삭제되었습니다.


    Cisco ACE

    완화: 애플리케이션 프로토콜 검사

    애플리케이션 프로토콜 검사는 Cisco ACE Application Control Engine Appliance 및 Module에서 사용할 수 있습니다. 이 고급 보안 기능은 Cisco ACE 디바이스를 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책을 통해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.

    애플리케이션 프로토콜 검사에 대한 자세한 내용은 Cisco ACE 4700 Series Appliance Security Configuration Guide의 Configuring Application Protocol Inspection 섹션에 있습니다.

    HTTP Deep Packet 검사

    MS13-060에 대한 HTTP DPI(Deep Packet Inspection)를 수행하기 위해 관리자는 패턴 매칭을 위한 정규식(regex)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 CVE-2013-3181과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호합니다. 다음 HTTP 애플리케이션 프로토콜 검사 컨피그레이션은 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326에서 트래픽을 검사합니다. HTTP 애플리케이션 프로토콜 검사 정책은 HTTP 콘텐츠가 이러한 취약성과 연결된 ActiveX 컨트롤과 일치하도록 구성된 리젠스를 포함하는 연결을 삭제합니다.

    주의: 구성된 규칙은 HTML 패킷의 컨텐트에서 임의의 위치에 있는 텍스트 문자열과 일치할 수 있습니다. ActiveX 컨트롤을 호출하지 않고 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 응용 프로그램이 영향을 받지 않도록 주의해야 합니다.

    Cisco ACE Application Control Engine Appliance 및 Module을 사용하는 ActiveX 익스플로잇 및 완화에 대한 자세한 내용은 Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection Cisco Security Intelligence Operations 백서를 참조하십시오.

     ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes !-- that are associated with this vulnerability: !-- MS10-091 File Extension: regex matches the file !-- extension of ".eot" that is typically associated !-- with Embedded OpenType (EOT) font files ! 
class-map type http inspect match-any MS13-060-class
  match url .*.+\x2e[Ee][Oo][Tt].*   
 ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
policy-map type inspect http all-match MS_Aug_2013
  class MS13-060-class
    reset log 
! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map match-all L4_http_class
  match access-list WEBPORTS
! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
policy-map multi-match L4_MS_Aug_2013
  class L4_http_class
    inspect http policy MS_Aug_2013  
! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Aug_2013

    ID: 애플리케이션 프로토콜 검사

    HTTP Deep Packet 검사

    Cisco ACE Application Control Engine syslog 메시지 415006은 URI가 사용자 정의 정규식과 일치할 때 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ACE 4700 Series Appliance System Message Guide - System Message 415006에 있습니다.

    HTTP 메시지 본문이 사용자 정의 정규식과 일치할 경우 Cisco ACE Application Control Engine syslog 메시지 415007이 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ACE 4700 Series Appliance System Message Guide - System Message 415007에 있습니다.

    ACE/Admin# show logging | include 415007
    
Aug 13 2013 15:26:43: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map 
     L4_MS_Aug_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a 
Aug 13 2013 15:30:33: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map 
     L4_MS_Aug_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3c

    HTTP Deep Packet Inspection이 활성화된 경우 show service-policy policyname detail 명령은 이 기능에 의해 검사되고 삭제된 HTTP 연결 수를 식별합니다. 다음 예에서는 show service-policy L4_MS_Aug_2013 detail의 출력을 보여 줍니다.

    ACE/Admin# show service-policy L4_MS_Aug_2013 detail

Status     : ACTIVE
Description: -----------------------------------------
Context Global Policy:
  service-policy: L4_MS_Aug_2013
    class: L4_http_class
      inspect http:
        L7 inspect policy : MS_Aug_2013
        Url Logging: DISABLED
        curr conns       : 0         , hit count        : 1         
        dropped conns    : 0         
        client pkt count : 3         , client byte count: 589                   
        server pkt count : 3         , server byte count: 547                   
        conn-rate-limit      : 0         , drop-count : 0         
        bandwidth-rate-limit : 0         , drop-count : 0         
        L4 policy stats:
          Total Req/Resp: 4          , Total Allowed: 2         
          Total Dropped : 2          , Total Logged : 0         
        L7 Inspect policy : MS_Aug_2013
          class/match : MS13-060-class
            Inspect action :
               reset log
            Total Inspected      : 2          , Total Matched: 1         
            Total Dropped OnError: 0

    앞의 예에서는 2개의 HTTP 연결이 검사되었고 1개의 HTTP 연결이 삭제되었습니다.

    HTTP Deep Packet Inspection 및 Application Protocol Inspection에 대한 자세한 내용은 Cisco ACE 4700 Series Appliance Security Configuration GuideConfiguring Application Protocol Inspection 섹션에 나와 있습니다.


    Cisco 침입 방지 시스템

    완화: Cisco IPS 서명 이벤트 작업

    관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 여러 취약점을 악용하려는 시도를 방지할 수 있습니다. 다음 표에는 CVE 식별자 및 이러한 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 해당 Cisco IPS 시그니처의 개요가 나와 있습니다.

    CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도*
    CVE-2013-3182 S734 2600/0 Windows 2012 Server 서비스 거부 취약성 높이 95
    CVE-2013-3189 S734 2610/0 Microsoft Internet Explorer 원격 코드 실행 높음 80
    CVE-2013-3199 S734 2633/0 Microsoft Internet Explorer 원격 메모리 손상 높음 85
    CVE-2013-3181 S734 2634/0 Microsoft Internet Explorer 원격 메모리 손상 높음 85
    CVE-2013-3193 S734 2637/0 Microsoft Internet Explorer 메모리 손상 높음 85
    CVE-2013-3194 S734 2638/0 Microsoft Internet Explorer 메모리 손상 높음 85
    CVE-2013-3184 S734 2639/0 Microsoft Windows Internet Explorer 메모리 손상 높음 85
    CVE-2013-3188 S734 31337/0 Microsoft Internet Explorer 원격 코드 실행 높음 85
    CVE-2013-3191 S734 2647/0 Microsoft Internet Explorer 메모리 손상 취약성 높음 90
    CVE-2013-1307 S734 2646/0 Microsoft Internet Explorer 무료 취약성 후 사용 높음 90

    * Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.

    관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하도록 합니다.

    스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업으로 인해 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.

    Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.

    위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.


    Cisco IPS 서명 이벤트 데이터

    다음 데이터는 Cisco IPS Signature Update 버전 S734 이상을 실행하는 Cisco IPS 센서의 샘플 그룹에서 Cisco Remote Management Services 팀이 제공하는 원격 모니터링 서비스를 통해 컴파일되었습니다. 이 데이터의 목적은 2013년 8월 13일 발표된 Microsoft 8월 보안 업데이트의 일부로 릴리스된 취약성을 악용하려는 시도에 대한 가시성을 제공하는 것입니다. 이 데이터는 2013년 8월 19일에 트리거된 이벤트에서 수집되었습니다.

    CVE ID 서명 ID 시그니처를 보고하는 센서의 비율 가장 많이 본 상위 10개 이벤트 중 시그니처를 보고하는 센서의 비율
    CVE-2013-3182 2600/0 0 0
    CVE-2013-3189 2610/0 0 0
    CVE-2013-3199 2633/0 0 0
    CVE-2013-3181 2634/0 0 0
    CVE-2013-3193 2637/0 0 0
    CVE-2013-3194 2638/0 0 0
    CVE-2013-3184 2639/0 0 0
    CVE-2013-3188 31337/0 0 0
    CVE-2013-3191 2647/0 0 0
    CVE-2013-1307 2646/0 0 0

    Cisco 보안 관리자

    식별: Cisco Security Manager

    Cisco Security Manager, 이벤트 뷰어

    소프트웨어 버전 4.0부터 Cisco Security Manager는 Cisco 방화벽 및 Cisco IPS 디바이스에서 syslog를 수집하고 이 문서에 설명된 취약성과 관련된 이벤트를 쿼리할 수 있는 이벤트 뷰어를 제공합니다.

    이벤트 뷰어에서 사전 정의된 IPS Alert Events 뷰를 사용하여 검색 문자열을 입력할 수 있습니다

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0

    Cisco IPS 시그니처와 관련된 모든 캡처된 이벤트를 반환하는 이벤트 필터

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0

    이벤트 유형 ID 필터는 이벤트 뷰어의 Firewall Denied Events 미리 정의된 보기와 함께 사용하여 다음 목록에 표시된 syslog ID를 필터링하여 이 문서에 설명된 잠재적 취약성 익스플로잇 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 거부 syslog 메시지ASA-4-415007(HTTP 검사)를 제공할 수 있습니다.

    Cisco Security Manager 이벤트에 대한 자세한 내용은 Cisco Security Manager 사용 설명서의 이벤트 필터링 및 쿼리 섹션을 참조하십시오.

    Cisco Security Manager 보고서 관리자

    소프트웨어 버전 4.1부터 Cisco Security Manager는 Cisco IPS 이벤트 보고 기능인 보고서 관리자를 지원합니다. 관리자는 이 기능을 사용하여 원하는 Cisco IPS 이벤트를 기반으로 보고서를 정의할 수 있습니다. 필요에 따라 보고서를 예약하거나 임시 보고서를 실행할 수 있습니다.

    보고서 관리자를 사용하여 사용자는 시간 범위 및 서명 특성을 기반으로 관심 있는 Cisco IPS 장치에 대한 IPS Top Signatures 보고서를 정의할 수 있습니다. Signature ID가

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0
    Cisco Security Manager는 해당 시그니처에 대해 실행된 경고의 수를 보고서에 표시된 모든 시그니처 경고의 총 합계와 비교하여 순위를 매기는 종합 보고서를 생성합니다.

    Cisco Security Manager IPS 이벤트 보고에 대한 자세한 내용은 Cisco Security Manager User Guide의 Understanding IPS Top Reports 섹션을 참조하십시오.

    ID: Event Management System 파트너 이벤트

    Cisco는 Cisco Developer Network를 통해 업계 최고의 SIEM(Security Information and Event Management) 기업과 협력하고 있습니다. 이러한 파트너십을 통해 Cisco는 장기 로그 아카이빙 및 포렌식, 이기종 이벤트 상관관계, 고급 규정 준수 보고 등 비즈니스 문제를 해결하는, 검증되고 테스트된 SIEM 시스템을 제공할 수 있습니다. Security Information and Event Management 파트너 제품을 활용하여 Cisco 디바이스에서 이벤트를 수집한 다음 수집된 이벤트에서 Cisco IPS 시그니처로 생성된 사고를 쿼리하거나, 이 문서에 설명된 취약성을 악용하려는 잠재적인 시도를 나타낼 수 있는 방화벽의 syslog 메시지를 거부할 수 있습니다. 쿼리는 다음 목록에 표시된 것처럼 Sig IDSyslog ID로 수행할 수 있습니다.

    • 2600/0 Windows 2012 Server 서비스 거부 취약성
    • 2610/0 Microsoft Internet Explorer 원격 코드 실행
    • 2633/0 Microsoft Internet Explorer 원격 메모리 손상
    • 2634/0 Microsoft Internet Explorer 원격 메모리 손상
    • 2637/0 Microsoft Internet Explorer 원격 코드 실행
    • 2638/0 Microsoft Internet Explorer 메모리 손상
    • 2639/0 Microsoft Windows Internet Explorer 메모리 손상
    • 31337/0 Microsoft Internet Explorer 원격 코드 실행
    • ASA-4-415007(HTTP 검사)

    SIEM 파트너에 대한 자세한 내용은 Security Management System 웹 사이트를 참조하십시오.






추가 정보

  • 이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

이 게시판 관련

개정 이력

  • 버전 설명 섹션 날짜
    3 Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 8월 19일부터 IPS 서명에 사용할 수 있습니다. 2013년 8월 26일 13:38(GMT)
    2 Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 8월 15일부터 IPS 서명에 사용할 수 있습니다. 2013년 8월 16일 20:27(GMT)
    1 Cisco Applied Mitigation Bulletin 최초 공개 2013년 8월 13일 18:10(GMT)
    간단히 표시

Cisco 보안 절차

  • Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

영향을 받는 제품

  • 보안 취약성은 다음과 같은 제품 조합에 적용됩니다.

    기본 제품
    마이크로소프트 인터넷 탐색기 6.0(기본) | 7.0(기본) | 8.0(기본) | 9.0(기본) | 10.0(기본)
    윈도우 7 32비트 시스템(SP1) | x64 기반 시스템(SP1)
    윈도우 8 32비트 시스템용(기본) |(x64 기반 시스템)(기본)
    윈도 RT 원래 릴리스(기본)
    Windows Server 2003 Datacenter Edition(SP2) | Datacenter Edition, 64비트(Itanium)(SP2) | Datacenter Edition x64(AMD/EM64T) (SP2) | Enterprise Edition(SP2) | Enterprise Edition, 64비트(Itanium)(SP2) | Enterprise Edition x64(AMD/EM64T) (SP2) | Standard Edition(SP2) | Standard Edition, 64비트(Itanium)(SP2) | Standard Edition x64(AMD/EM64T) (SP2) | Web Edition(SP2)
    Windows Server 2008 Datacenter Edition(SP2) | Datacenter Edition, 64비트(SP2) | Itanium-Based Systems Edition(SP2) | Enterprise Edition(SP2) | Enterprise Edition, 64비트(SP2) | Essential Business Server Standard(SP2) | Essential Business Server Premium(SP2) | Essential Business Server Premium, 64비트(SP2) | Standard Edition(SP2) | Standard Edition, 64비트(SP2) | 웹 서버(SP2) | 웹 서버, 64비트(SP2)
    Windows Server 2008 R2 x64-Based Systems Edition(SP1) | Itanium-Based Systems Edition(SP1)
    Windows Server 2012 원래 릴리스(기본)
    Windows Vista Home Basic(SP2) | 홈 프리미엄(SP2) | 비즈니스(SP2) | 엔터프라이즈(SP2) | Ultimate(SP2) | Home Basic x64 Edition(SP2) | Home Premium x64 Edition(SP2) | Business x64 Edition(SP2) | Enterprise x64 Edition(SP2) | Ultimate x64 Edition(SP2)
    오라클 Oracle Fusion 미들웨어 8.3(.7) | 8.4 (.0, .1)


    관련 제품
    마이크로소프트 Exchange 서버 2007년(SP3) | 2010(SP2) | 2013(CU1, CU2)
    윈도우 7 32비트 시스템용 |(x64 기반 시스템)
    윈도우 8 32비트 시스템용 |(x64 기반 시스템)
    윈도 RT 원래 릴리스
    Windows Server 2003 데이터 센터 에디션 | Datacenter Edition, 64비트(Itanium) | Datacenter Edition x64(AMD/EM64T) | 엔터프라이즈 에디션 | Enterprise Edition, 64비트(Itanium) | Enterprise Edition x64(AMD/EM64T) | Standard 버전 | Standard Edition, 64비트(Itanium) | Standard Edition x64(AMD/EM64T) | 웹 에디션
    Windows Server 2008 데이터 센터 에디션 | Datacenter Edition, 64비트 | Itanium-Based Systems 버전 | 엔터프라이즈 에디션 | Enterprise Edition, 64비트 | Essential Business Server 표준 | Essential Business Server 프리미엄 | Essential Business Server Premium, 64비트 | Standard 버전 | Standard Edition, 64비트 | 웹 서버 | 웹 서버, 64비트
    Windows Server 2008 R2 x64-Based Systems 버전 | Itanium-Based Systems 버전
    Windows Server 2012 원래 릴리스
    Windows Vista 홈 베이직 | 홈 프리미엄 | 비즈니스 | 엔터프라이즈 | Ultimate | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultimate x64 Edition

이 게시판 관련