受影响系统：
Cisco PIX Firewall < 7.2(2.8)
Cisco Firewall Services Module 3.x
Cisco Firewall Services Module 2.3.x
Cisco ASA < 7.2(2.8)

不受影响系统：
Cisco PIX Firewall 7.2(2.10)
Cisco Firewall Services Module 3.1(4)
Cisco Firewall Services Module 2.3(4.12)
Cisco ASA 7.2(2.10)

描述：
Cisco PIX/ASA和防火墙服务模块（FWSM）可提供能够进行状态报文过滤和深层报文检查的防火墙服务。

Cisco PIX 500系列安全设备和Cisco ASA 5500系列自适应安全设备中存在多个安全漏洞：

增强型检查畸形HTTP通讯
   如果启用了增强型HTTP检查的话，则在检查畸形HTTP请求时Cisco PIX和ASA安全设
   备可能崩溃。如果启用了HTTP应用检查的话，配置中会包含有类似于inspect http <appfw>
   的行，其中<appfw>是特定HTTP映射的名称。请注意正常的HTTP检查（通过inspect http
   配置，没有HTTP映射）不受这个漏洞影响。

检查畸形SIP报文
   检查畸形SIP报文可能导致Cisco PIX和ASA设备崩溃。

检查畸形TCP报文流
   Cisco PIX和ASA设备在处理基于TCP协议中畸形报文流时可能崩溃。必须通过inspect
   功能处理协议。报文可能是发送给设备的，也可能仅是通过设备的。

增强型检查畸形HTTP通讯可能导致重载
   这个漏洞可能导致FWSM在执行增强型检查HTTP请求并检查了畸形HTTP请求时出现重载。

检查畸形SIP消息可能导致重载
   如果通过传输控制协议（TCP）或用户数据报协议（UDP）接收到畸形SIP消息，并
   且对于通过TCP的SIP使用fixup protocol sip <portnum>命令启用深度检查SIP消
   息，和/或对于通过UDP的SIP，在FWSM 2.3.x及之前版本中通过fixup protocol sip
   udp <portnum> 命令，或在FWSM 3.x及之后版本中通过inspect sip命令启用深度
   检查SIP消息，则漏洞可能导致FWSM重载。
 
处理发送给FWSM的报文可能导致重载
   这个漏洞导致FWSM在试图生成710006系统日志消息时出现重载。

处理畸形HTTPS请求可能导致重载
   如果用户试图访问Web站点且网络管理员配置设备允许网络访问之前认证用户的话，
   这个漏洞可能导致FWSM重载。

处理超长HTTP请求可能导致重载
   如果管理员通过aaa authentication match或aaa authentication include命令启
   用了“认证网络访问（auth-proxy）”的话，这个漏洞也可能导致FWSM重载。

处理HTTPS通讯可能导致重载
   如果FWSM收到了发送给FWSM本身的特定类型HTTPS通讯的话，这个漏洞可能导致FWSM
   重载。

处理畸形SNMP请求可能导致重载
   如果从可信任的设备接收了畸形SNMP消息的话，这个漏洞可能导致FWSM重载。必须
   通过snmp-server host <interface name> <IP of trusted device>命令对可信任
   设备允许明确的SNMP poll访问。

增强型检查畸形HTTP通讯
   禁用HTTP应用检查（appfw）可以防范Cisco PIX和ASA设备免受本文所述漏洞的影
   响。如果保持配置inspect http语句的话，则仍会保留对终端设备（如Cisco PIX
   和ASA设备所保护的计算机）某些级别的保护，但由于这个检查级别更加细粒，因
   此可能对终止HTTP会话的设备造成负面影响。报文可能导致终止HTTP会话的设备崩
   溃或被入侵。

检查畸形SIP报文
   禁用SIP检查可以防范Cisco PIX和ASA设备免受本文所述漏洞的影响，但这可能对
   终止SIP会话的设备造成负面影响。报文可能导致终止SIP会话的设备崩溃或被入侵。
 
增强型检查畸形HTTP通讯可能导致重载
   可通过禁用增强型检查HTTP通讯缓解这个漏洞。请注意禁用HTTP增强型检查可能导
   致FWSM无法防护与HTTP通讯相关的特定攻击和其他威胁。可通过从配置中删除
   inspect http <appfw>命令禁用增强型检查HTTP通讯，这里appfw是HTTP映射的名
   称。
 
厂商补丁：
Cisco已经为此发布了安全公告（cisco-sa-20070214-fwsm/cisco-sa-20070214-pix）以及相应补丁:

cisco-sa-20070214-fwsm：Multiple Vulnerabilities in Firewall Services Module
链接：http://www.cisco.com/warp/public/707/cisco-sa-20070214-fwsm.shtml

cisco-sa-20070214-pix：Multiple Vulnerabilities in Cisco PIX and ASA Appliances
链接：http://www.cisco.com/warp/public/707/cisco-sa-20070214-pix.shtml