Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1373

[Cisco/IOS] Schwachstellen in der Verarbeitung von SSL-Paketen
(2007-05-23 17:15:51.067195+00)

Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20070522-SSL.shtml

Mehrere Schwachstellen in den Routinen zur Verarbeitung von Secure Sockets Layer (SSL) Paketen des Cisco-Router-Betriebssystems IOS können von einem Angreifer dazu ausgenutzt werden, das beherbergende Netzkoppelelelement in einen unbenutzbaren Zustand zu versetzen, bzw. es zum Absturz zu bringen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Speziell formuliertes SSL-Paket, insbesondere bei Verwendung einer der folgenden Dienste bzw. Protokolle:

Auswirkung
Nichtverfügbarkeit des beherbergenden Netzkoppelelements (Router oder Switch)
(Denial of Service)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
Je nach Konfiguration mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere Schwachstellen in den Routinen zur Verarbeitung von Secure Sockets Layer (SSL) Paketen des Cisco-Router-Betriebssystems IOS können von einem Angreifer dazu ausgenutzt werden, das beherbergende Netzkoppelelement in einen unbenutzbaren Zustand zu versetzen, bzw. es zum Absturz zu bringen.

Um die Schwachstellen erfolgreich ausnutzen zu können, muss ein Angreifer in der Lage sein, eine TCP-Verbindung zu einem verwundbaren System auf einem Port aufzubauen, der einen mit SSL geschützten Dienst anbietet. Er benötigt darüberhinaus keine gültigen Authentifizierungsmittel. Während der folgenden Phase des SSL-Verbindungsaufbaus muss der Angreifer entsprechend formulierte ClientHello, ChangeCipherSpec oder Finished Nachrichten schicken, bei deren Verarbeitung in einer verwundbaren IOS-Version Fehler auftreten und das System in einen nicht benutzbaren Zustand gerät.

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1373