CISCO安全公告：CISCO PIX防火墙认证存在拒绝服务漏洞

发布时间：2001-10-07
更新时间：2001-10-07
严重程度：中
威胁程度：远程拒绝服务
错误类型：设计错误
利用方式：服务器模式

受影响系统

所有使用Cisco Secure PIX Firewalls 4.0版本以上，包括4.4(8), 5.0(3), 5.1(3), 5.2(2), 和 5.3(1)这些使用了AAA认证配置的系统。

详细描述
当在Cisco Secure PIX 防火墙配置有AAA认证服务时，就可能被单一源地址消耗所有认证资源，而导致其他用户不能进行此服务连接产生拒绝服务攻击。

测试代码
1)如PIX 5.1.4版本配置AAA认证如下：

aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server grup protocol tacacs+
aaa-server grup (inside) host 10.10.10.20 cheia
timeout 5
aaa authentication include http outbound 0.0.0.0
0.0.0.0 0.0.0.0 0.0.0.0 grup
aaa authorization include http outbound 0.0.0.0
0.0.0.0 0.0.0.0 0.0.0.0 grup
aaa accounting include http outbound 0.0.0.0
0.0.0.0 0.0.0.0 0.0.0.0 grup

2)发起HTTP请求如下，PIX启动如下认证过程：

109001: Auth start for user '???' from
10.10.10.1/2000 to 216.46.233.11/80

然后在启动如下HTTP请求：

109001: Auth start for user '???' from
10.10.10.1/2001 to 216.46.233.11/80

这样的426个请求后，PIX会产生如下信息：

Panic: uauth1 - open: no more channels
(tcp/UNPROXY/1/0)!

并崩溃：

Thread Name: uauth1 (Old pc 0x80070b4f ebp 0x810c56dc)

解决方案
可以参考下面的信息获得软件升级：

http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

相关信息

最近严重漏洞

CISCO安全公告：CISCO PIX防火墙认证存在拒绝服务漏洞