Antwort von Cisco

• Antwort von Cisco

  Im Rahmen des monatlichen Security Bulletins vom 10. Juli 2012 kündigte Microsoft neun Sicherheitsbulletins an, in denen 16 Sicherheitslücken geschlossen werden. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms12-jul. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.

  Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem gefährdeten Gerät ausgenutzt werden können, die Interaktion von Benutzern erfordern oder die mithilfe von webbasierten Angriffen (wie z. B. Site-übergreifendem Scripting, Phishing und webbasierten E-Mail-Bedrohungen), E-Mail-Anhängen oder Dateien, die in Netzwerkfreigaben gespeichert sind, ausgenutzt werden können, sind in der folgenden Liste aufgeführt:

  • MS12-043
  • MS12-044
  • MS12-045
  • MS12-046
  • MS12-047
  • MS12-048
  • MS12-049
  • MS12-050
  • MS12-051

  Die folgende Liste enthält eine Schwachstelle, die die Auswirkungen auf das Netzwerk verringert. Cisco Geräte bieten Gegenmaßnahmen für die Schwachstelle, die einen Angriffsvektor auf das Netzwerk hat. Auf diesen Vektor wird später in diesem Dokument noch näher eingegangen.

  • MS12-046

  Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom Juli 2012 verwiesen wird.

  Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.

Merkmale der Schwachstelle

• MS12-046, Vulnerability in Visual Basic for Applications Could Allow Remote Code Execution (2707960): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-Kennung CVE-2012-1854 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordert eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstelle besteht in Microsoft Server Message Block (SMB)-Paketen mit TCP-Ports 139 und 445 und Web-basiertem Distributed Authoring und Versioning (WebDAV) über HTTP-Pakete, die in der Regel TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8 888 und 24326. Aufgrund der Art des Exploits ist die WebDAV-Eindämmung keine praktikable Lösung. Daher wird nur die SMB-Eindämmung bereitgestellt.

  Obwohl die Cisco IOS Software, die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 einen teilweisen Schutz für potenzielle Versuche bieten, diese Schwachstelle auszunutzen (siehe Thema in diesem Dokument), Site-übergreifendes Skripting und Phishing könnten ebenfalls verwendet werden, um diese Schwachstelle auszunutzen. Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstelle finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.

Überblick über Sicherheitslücken

• Informationen zu anfälliger, nicht betroffener und korrigierter Software finden Sie in der Microsoft Security Bulletin Summary for July 2012 unter dem folgenden Link: http://technet.microsoft.com/en-us/security/bulletin/ms12-jul

Überblick über die Risikominderungstechnik

• Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem gefährdeten Gerät ausgenutzt werden können, die Interaktion von Benutzern erfordern oder die mithilfe von webbasierten Angriffen (wie z. B. Site-übergreifendem Scripting, Phishing und webbasierten E-Mail-Bedrohungen), E-Mail-Anhängen oder Dateien, die in Netzwerkfreigaben gespeichert sind, ausgenutzt werden können, sind in der folgenden Liste aufgeführt:

  • MS12-043
  • MS12-044
  • MS12-045
  • MS12-046
  • MS12-047
  • MS12-048
  • MS12-049
  • MS12-050
  • MS12-051

  Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunktschutzsoftware wie Cisco Security Agent Host Intrusion Prevention System (HIPS) oder Antivirus-Produkte behoben.

  Die folgende Liste enthält eine Schwachstelle, die die Auswirkungen auf das Netzwerk verringert. Cisco Geräte bieten Gegenmaßnahmen für diese Schwachstelle. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.

  • MS12-046

  Die Cisco IOS Software bietet mithilfe von Transit-Zugriffskontrolllisten (tACLs) effektive Möglichkeiten zur Verhinderung von Exploits.  Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, die Schwachstelle auszunutzen, die einen Angriffsvektor im Netzwerk hat.

  Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit (tACLs) sorgen zudem für einen effektiven Schutz vor Bedrohungen.  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, die Schwachstelle auszunutzen, die einen Angriffsvektor im Netzwerk hat.

  Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.

  Die Firewalls Cisco IOS Software, Cisco ASA, Cisco ASASM und Cisco FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

  Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die versuchen, diese Schwachstellen auszunutzen, wie weiter unten in diesem Dokument beschrieben.

  Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.

Risikomanagement

• Den Unternehmen wird empfohlen, ihre standardmäßigen Risikobewertungs- und Risikominderungsprozesse zu befolgen, um die potenziellen Auswirkungen dieser Schwachstellen zu ermitteln.. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

• Gerätespezifische Eindämmung und Identifizierung

  Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

  Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

  • Cisco IOS-Router und -Switches
  • Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
  • Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
  • Cisco Intrusion Prevention System
  • Cisco Security Manager

  Cisco IOS-Router und -Switches

  Eindämmung: Transit-Zugriffskontrolllisten

  Für MS12-046 wird Administratoren empfohlen, Transit-Zugriffskontrolllisten (tACLs) bereitzustellen, um das Netzwerk vor Datenverkehr zu schützen, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die folgenden tACL-Richtlinien verweigern nicht autorisierte SMB-Pakete an den TCP-Ports 139 und 445, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.

  !-- Include explicit permit statements for trusted sources
  !-- that require access on the vulnerable ports
  !-- for MS12-046
  !
  access-list 150 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established
  access-list 150 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established
  !
  !-- The following vulnerability-specific access control entries 
  !-- (ACEs) can aid in identification of attacks against MS12-046
  !
  access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 139
  access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 445
  
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Explicit deny for all other IP traffic
  !
  access-list 150 deny ip any any
  !
  !-- Create the corresponding IPv6 tACL
  !
  ipv6  access-list IPv6-Transit-ACL-Policy
   ! 
   !-- Include explicit permit statements for trusted sources
   !-- that require access on the vulnerable ports
   !-- for MS12-046
   !
    permit tcp host 2001:DB8::100:1 eq 139 2001:DB8:1:60::/64 established 
    permit tcp host 2001:DB8::100:1 eq 445 2001:DB8:1:60::/64 established
   !
   !-- The following vulnerability-specific ACEs can 
   !-- aid in identification of attacks to global and
   !-- link-local addresses
   !
    deny tcp 2001:db8:1:60::/64 any eq 139
    deny tcp 2001:db8:1:60::/64 any eq 445
   !
   !-- Permit or deny all other Layer 3 and Layer 4 traffic in 
   !-- accordance with existing security policies and configurations
   !-- and allow IPv6 neighbor discovery packets, which
   !-- include neighbor solicitation packets and neighbor
   !-- advertisement packets
   !
    permit icmp any any nd-ns
    permit icmp any any nd-na
    ! 
   !-- Explicit deny for all other IPv6 traffic
   !
   !
    deny ipv6 any any
   !
   !-- Apply tACLs to interfaces in the ingress direction
   !
  interface GigabitEthernet0/0
   ip access-group 150 in
   ipv6 traffic-filter IPv6-Transit-ACL-Policy in

  Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle deaktiviert werden. keine nicht erreichbaren IPs und keine nicht erreichbaren IPv6-Adressen . Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle vom Standard abgesetzt werden. ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp-Fehlerintervall, Intervall in ms.

  Identifizierung: Transit-Zugriffskontrolllisten

  Wenn der Administrator die tACL auf eine Schnittstelle anwendet, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der SMB IPv4- und IPv6-Pakete auf den TCP-Ports 139 und 445, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists 150 und show ipv6 access-list IPv6-Transit-ACL-Policy:

  router#show ip access-lists 150
  Extended IP access list 150
      10 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established
      20 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established
      30 deny tcp 192.168.60.0 0.0.0.255 any eq 139 (12 matches)
      40 deny tcp 192.168.60.0 0.0.0.255 any eq 445 (26 matches)
      50 deny ip any any
  router#

  Im vorherigen Beispiel hat die Zugriffsliste 150 die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden

  • 12 SMB-Pakete am TCP-Port 139 für ACE-Leitung 30
  • 26 SMB-Pakete auf TCP-Port 445 für ACE-Leitung 40

  router#show ipv6 access-list IPv6-Transit-ACL-Policy 
  IPv6 access list IPv6-Transit-ACL-Policy
      permit tcp host 2001:db8:1:100::1 eq 139 2001:db8:1:60::/64 established (55 matches) sequence 10
      permit tcp host 2001:db8:1:100::1 eq 445 2001:db8:1:60::/64 established (38 matches) sequence 20
      deny tcp 2001:DB8:1:60::/64 any eq 139 (30 matches) sequence 30
      deny tcp 2001:DB8:1:60::/64 any eq 445 (41 matches) sequence 40
      permit icmp any any nd-ns (41 matches) sequence 50
      permit icmp any any nd-na (41 matches) sequence 60
      deny ipv6 any any (21 matches) sequence 70

  Im vorherigen Beispiel hat die Zugriffsliste IPv6-Transit-ACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

  • 30 SMB-Pakete am TCP-Port 139 für ACE-Leitung 30
  • 41 SMB-Pakete am TCP-Port 445 für ACE-Leitung 40

  Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security.

  Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Cisco Security Whitepaper Embedded Event Manager in a Security Context enthält weitere Informationen zur Verwendung dieser Funktion.

  Identifizierung: Protokollierung der Zugriffsliste

  Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.

  Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.

  Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.

  Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.

  Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security.

  Cisco IOS NetFlow und Cisco IOS Flexible NetFlow

  Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow

  Für MS12-046 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebene Schwachstelle mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

  router#show ip cache flow
  IP packet size distribution (90784136 total packets):
     1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000
  
      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
  
  IP Flow Switching Cache, 4456704 bytes
    1885 active, 63651 inactive, 59960004 added
    129803821 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds
  IP Sub Flow Cache, 402056 bytes
    0 active, 16384 inactive, 0 added, 0 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added
    last clearing of statistics never
  Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
  --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
  TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
  TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
  TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
  TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
  TCP-X              719      0.0         1    40      0.0       0.0       1.3
  TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
  TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
  TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
  UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
  UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
  UDP-other       310347      0.0         2   230      0.1       0.6      15.9
  ICMP             11674      0.0         3    61      0.0      19.8      15.5
  IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
  GRE                  4      0.0         1    48      0.0       0.0      15.3 
  Total:        59957957     14.8         1   196     22.5       0.0       1.5
  
  SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 008B 00A1     1
  Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 01BD 00A1     3
  Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    11 0016 12CA     1
  Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 01BD 00A1     5
  Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 008B 00A1     1
  Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
  Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 008B 00A1     1
  Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

  Im vorherigen Beispiel gibt es mehrere Datenflüsse für SMBs auf dem TCP-Port 139 (Hexadezimalwert 008B) und dem TCP-Port 445 (Hexadezimalwert 01BD).

  Um nur die Datenverkehrsflüsse für SMB-Pakete auf TCP-Port 139 (Hexadezimalwert 008B) und TCP-Port 445 (Hexadezimalwert 01BD) anzuzeigen, verwenden Sie den Befehl show ip cache flow | include SrcIf|_06_.*(008B|01BD)_ command to display the related Cisco NetFlow records:

  TCP-Flows

  router#show ip cache flow | include SrcIf|_06_.*(008B|01BD)_
  Gi0/0         192.168.10.201   Gi0/1         192.168.60.102  06 008B 00A1     1
  Gi0/0         192.168.11.54    Gi0/1         192.168.60.158  06 01BD 00A1     3
  Gi0/0         192.168.13.97    Gi0/1         192.168.60.28   06 01BD 00A1     5
  Gi0/0         192.168.10.17    Gi0/1         192.168.60.97   06 008B 00A1     1
  Gi0/0         192.168.12.185   Gi0/1         192.168.60.239  06 008B 00A1     1

  Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow

  Für MS12-046 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

  Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.

  router#show ipv6 flow cache
  
  IP packet size distribution (50078919 total packets):
     1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

  IP Flow Switching Cache, 475168 bytes
    8 active, 4088 inactive, 6160 added
    1092984 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds

  IP Sub Flow Cache, 33928 bytes
    16 active, 1008 inactive, 12320 added, 6160 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added

  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x008B 0x16C4      12
  2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000    1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000    1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000    1192    
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x01BD 0x160A      26
  2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x06 0x01BD 0x05C5       6
  2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x06 0x008B 0x05C6       7
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000    1155
  2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x05C6       2
  2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000    1193 

  Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

  Im vorherigen Beispiel gibt es mehrere IPv6-Flows für SMB auf dem TCP-Port 139 (Hexadezimalwert 008B) und dem TCP-Port 445 (Hexadezimalwert 01BD).

  Um nur die SMB-Pakete auf TCP-Port 139 (Hex-Wert 008B) und TCP-Port 445 (Hex-Wert 01BD) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcIf|_06_.*(008B|01BD)_ command to display the related Cisco NetFlow records:

  TCP-Flows

  router#show ipv6 flow cache | include SrcIf|_06_.*(008B|01BD)_
  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x008B 0x13C4    1597
  2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x008B 0x16C4      12  
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x01BD 0x160A      26
  router#

  Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

  Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.

  Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

  !
  !-- Configure key and nonkey fields
  !-- in the user-defined flow record
  !
  flow record FLOW-RECORD-ipv4
   match ipv4 source address
   collect ipv4 protocol
   collect ipv4 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  !
  !-- Configure the flow monitor to
  !-- reference the user-defined flow 
  !-- record
  !
  flow monitor FLOW-MONITOR-ipv4
   record FLOW-RECORD-ipv4
  !
  !-- Apply the flow monitor to the interface
  !-- in the ingress direction
  !
  interface GigabitEthernet0/0
   ip flow monitor FLOW-MONITOR-ipv4 input

  Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

  router#show flow monitor FLOW-MONITOR-ipv4 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                1
  
    Flows added:                                   9181
    Flows aged:                                    9175
      - Active timeout      (  1800 secs)          9000
      - Inactive timeout    (    15 secs)           175
      - Event aged                                    0
      - Watermark aged                                0
      - Emergency aged                                0
  
  IPV4 SRC ADDR  ipv4 dst addr  trns src port trns dst port intf input intf output pkts ip prot
  ============== ============== ============= ============= ========== =========== ==== =======
  192.168.10.201 192.168.60.102          139            80      Gi0/0        Gi0/1 1128       6
   192.168.11.54 192.168.60.158          445           123      Gi0/0        Gi0/1 2212       6
  192.168.150.60   10.89.16.226         2567           443      Gi0/0        Gi0/1   13       6
   192.168.13.97  192.168.60.28          139            80      Gi0/0        Gi0/1    1       6
     10.88.226.1 192.168.202.22         2678           443      Gi0/0        Gi0/1  567       6
    10.89.16.226 192.168.150.60         3562            80      Gi0/0        Gi0/1  312       6

  Um nur die SMB-Pakete an den TCP-Ports 139 und 445 anzuzeigen, verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv4. | IPV4 SRC ADDR einschließen |_6_.*(139|445)_, um die zugehörigen NetFlow-Datensätze anzuzeigen.

  Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow-Konfigurationsleitfaden, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow-Konfigurationsleitfaden, Version 12.4T.

  Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

  Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse basierend auf der IPv6-Quelladresse, wie in der Schlüsselfeldanweisung match ipv6 source address definiert. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

  !
  !-- Configure key and nonkey fields
  !-- in the user-defined flow record
  !
  flow record FLOW-RECORD-ipv6
   match ipv6 source address
   collect ipv6 protocol
   collect ipv6 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  !
  !-- Configure the flow monitor to
  !-- reference the user-defined flow 
  !-- record
  !
  flow monitor FLOW-MONITOR-ipv6
   record FLOW-RECORD-ipv6
  !
  !-- Apply the flow monitor to the interface
  !-- in the ingress direction
  !
  interface GigabitEthernet0/0
    ipv6 flow monitor FLOW-MONITOR-ipv6 input

  Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

  router#show flow monitor FLOW-MONITOR-ipv6 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                2
  
    Flows added:                                   539
    Flows aged:                                    532
      - Active timeout      (  1800 secs)          350
      - Inactive timeout    (    15 secs)          182
      - Event aged                                   0
      - Watermark aged                               0
      - Emergency aged                               0
  
  IPV6 SRC ADDR     ipv6 dst addr     trns src port trns dst port intf input intf output pkts ip prot
  ================= ================= ============= ============= ========== =========== ==== =======
  2001:DB...06::201  2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
  2001:DB...06::201  2001:DB...28::20           139            80      Gi0/0       Gi0/0 1237       6
  2001:DB...06::201  2001:DB...28::20           445           443      Gi0/0       Gi0/0 2346       6
  2001:DB...06::201  2001:DB...28::20           139            80      Gi0/0       Gi0/0 5009       6
  2001:DB...06::201  2001:DB...28::20          2856          5060      Gi0/0       Gi0/0  486      17
  2001:DB...06::201  2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
  2001:DB...06::201  2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

  Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

  Um nur die SMB-Pakete an den TCP-Ports 139 und 445 anzuzeigen, verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv6. | include IPV6 SRC ADDR|_6_.*(139|445)_ command to display the related Cisco IOS Flexible NetFlow records.

  Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Eindämmung: Transit-Zugriffskontrolllisten

  Für MS12-046 wird empfohlen, zum Schutz des Netzwerks vor Datenverkehr, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten, tACLs für die Richtliniendurchsetzung bereitzustellen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die folgenden tACL-Richtlinien verweigern nicht autorisierte SMB-Pakete an den TCP-Ports 139 und 445, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

  !
  !-- Include explicit permit statements for trusted sources
  !-- that require access on the vulnerable ports
  !
  access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 
       host 192.168.100.1 eq 139
  access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 
       host 192.168.100.1 eq 445
  !
  !-- The following vulnerability-specific ACEs
  !-- can aid in identification of attacks
  !
  access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 139
  access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 445
  !
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Explicit deny for all other IP traffic
  !
  access-list tACL-Policy-Egress extended deny ip any any
  !
  !-- Create the corresponding IPv6 tACL
  !
  !-- Include explicit permit statements for trusted sources
  !-- that require access on the vulnerable ports
  !
  ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp 
       2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 139
  ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp      
       2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 445 
  !
  !-- The following vulnerability-specific access control entries
  !-- (ACEs) can aid in identification of attacks
  !
  ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 139 
  ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 445
  !
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Explicit deny for all other IP traffic
  !
  ipv6 access-list IPv6-tACL-Policy-Egress deny ip any any
  !
  !-- Apply tACLs to interfaces in the egress direction
  !
  access-group tACL-Policy-Egress out interface outside
  access-group IPv6-tACL-Policy-Egress out interface outside

  Identifizierung: Transit-Zugriffskontrolllisten

  Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der SMB IPv4- und IPv6-Pakete auf den TCP-Ports 139 und 445 identifizieren, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show access-list tACL-Policy-Egress und show access-list IPv6-tACL-Policy-Egress:

  firewall#show access-list tACL-Policy-Egress
  access-list tACL-Policy-Egress; 5 elements
  access-list tACL-Policy-Egress line 1 extended permit tcp 192.168.60.0 255.255.255.0
       host 192.168.100.1 eq 139 (hitcnt=34)
  access-list tACL-Policy-Egress line 2 extended permit tcp 192.168.60.0 255.255.255.0
       host 192.168.100.1 eq 445 (hitcnt=34)
  access-list tACL-Policy-Egress line 3 extended deny tcp 192.168.60.0 255.255.255.0
       any eq 139 (hitcnt=119)
  access-list tACL-Policy-Egress line 4 extended deny tcp 192.168.60.0 255.255.255.0
       any eq 445 (hitcnt=101)
  access-list tACL-Policy-Egress line 5 extended deny ip any any (hitcnt=8)
  firewall#

  Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy-Egress die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

  • 119 KMU Pakete auf TCP-Port 139 für ACE-Leitung 3
  • 101 SMB-Pakete auf TCP-Port 445 für ACE-Leitung 4

  firewall#show access-list IPv6-tACL-Policy-Egress                 
  ipv6  access-list IPv6-tACL-Policy-Egress; 5 elements
  ipv6  access-list IPv6-tACL-Policy-Egress line 1 permit tcp any 2001:db8:1:60::/64 
        host 2001:db8:1:100::1 eq 139 (hitcnt=6)
  ipv6  access-list IPv6-tACL-Policy-Egress line 2 permit tcp any 2001:db8:1:60::/64 
        host 2001:db8:1:100::1 eq 445 (hitcnt=6)
  ipv6  access-list IPv6-tACL-Policy-Egress line 3 deny tcp 2001:db8:1:60::/64 any eq 139 (hitcnt=119)
  ipv6  access-list IPv6-tACL-Policy-Egress line 4 deny tcp 2001:db8:1:60::/64 any eq 445 (hitcnt=123) 
  ipv6  access-list IPv6-tACL-Policy-Egress line 5 deny ip any any (hitcnt=8)
  firewall#

  Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy-Egress die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

  • 119 SMB-Pakete am TCP-Port 139 für ACE-Leitung 3
  • 123 SMB-Pakete auf TCP-Port 445 für ACE-Leitung 4

  Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  Identifizierung: Firewall Access List, Syslog-Meldungen

  Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.

  Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

  Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

  Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

  firewall#show logging | grep 106023
    Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.191/2876 
           dst outside:192.0.2.18/139 by access-group "tACL-Policy-Egress"
    Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.33/2926 
           dst outside:192.0.2.200/445 by access-group "tACL-Policy-Egress"
    Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.240/2946 
           dst outside:192.0.2.99/139 by access-group "tACL-Policy-Egress"
    Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::23/2951
           dst outside:2001:db8:2::2:172/139 by access-group "IPv6-tACL-Policy-Egress"
    Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::134/2952
           dst outside:2001:db8:d::a85e:172/445 by access-group "IPv6-tACL-Policy-Egress"
  firewall#

  Im vorherigen Beispiel zeigen die für den tACL-tACL-Policy-Egress und den IPv6-tACL-Policy-Egress protokollierten Nachrichten SMB-Pakete für die TCP-Ports 139 und 445 an, die an den betroffenen Geräten zugewiesenen Adressblock gesendet wurden.

  Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

  Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Cisco Security Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events.

  Cisco Intrusion Prevention System

  Eindämmung: Cisco IPS-Signaturereignisaktionen

  Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.

  CVE-ID	Signaturfreigabe	Signature-ID	Signaturname	Aktiviert	Schweregrad	Genauigkeit*	Hinweise
  CVE 2012-1889	S656	1281/0	Microsoft XML Core Services - Remotecodeausführung	Ja	Hoch	90	Meta
  		1281/1	Microsoft XML Core Services - Remotecodeausführung	Ja	Hoch	90	Metakomponente #1
  CVE 2012 1522	S656	1329/0	Microsoft Internet Explorer 9 Remotecodeausführung als zwischengespeichertes Objekt	Ja	Hoch	85
  CVE 2012 1524	S656	1331/0	Microsoft Internet Explorer: Remotecodeausführung	Ja	Hoch	90
  CVE 2012-1891	S656	1334/0	Microsoft Windows ADO-Headerüberlauf	Ja	Hoch	85
  CVE 2012-0175	S656	1333/0	Microsoft Windows Registered Application Handler-Schwachstelle	Ja	Hoch	85
  CVE 2012-1858	S656	1279/0	Microsoft Internet Explorer und Lync - Site-übergreifendes Skripting zur HTML-Bereinigung	Ja	Hoch	85
  CVE 2012-1859	S656	5232/0	URL mit XSS	Ja	Niedrig	85
  CVE 2012 1861	S656	1335/0	Site-übergreifender Microsoft SharePoint-Skriptangriff	Ja	Hoch	95
  CVE 2012-1863	S656	1326/0	Microsoft SharePoint Reflected List-Parameterschwachstelle	Ja	Hoch	90

  * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.

  Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.

  Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.

  Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.

  IPS-Signaturereignisdaten

  Die folgenden Daten wurden mithilfe von Remote Monitoring Services zusammengestellt, die vom Cisco Remote Management Services-Team aus einer Beispielgruppe von Cisco IPS-Sensoren bereitgestellt wurden, auf denen Cisco IPS Signature Update Version S656 oder höher ausgeführt wird. Zweck dieser Daten ist es, Einblick in die Versuche zu geben, die Schwachstellen auszunutzen, die im Rahmen des am 10. Juli 2012 veröffentlichten Microsoft Juli Security Updates veröffentlicht wurden. Diese Daten stammen von Ereignissen, die am 17. Juli 2012 ausgelöst wurden.

  CVE-ID	Signature-ID	Prozentsatz der Sensoren, die die Signatur melden	Prozentsatz der Sensoren, die die Signatur unter den zehn meistgesehenen Ereignissen melden
  CVE 2012-1889	1281/0	0%	0%
  CVE 2012-1889	1281/1	0%	0%
  CVE 2012 1522	1329/0	0%	0%
  CVE 2012 1524	1331/0	0%	0%
  CVE 2012-1891	1334/0	0%	0%
  CVE 2012-0175	1333/0	0%	0%
  CVE 2012-1858	1279/0	0%	0%
  CVE 2012-1859	5232/0	1%	1%
  CVE 2012 1861	1335/0	0%	0%
  CVE 2012-1863	1326/0	0%	0%

  Cisco Security Manager

  Identifikation: Cisco Security Manager

  Ereignisanzeige für Cisco Security Manager

  Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit den in diesem Dokument beschriebenen Sicherheitslücken zusammenhängen.

  Über die vordefinierte IPS-Ansicht für Warnmeldungen in der Ereignisanzeige kann der Benutzer die Suchzeichenfolgen 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 12 eingeben. 79/0, 5232/0, 1335/0 und 1326/0 im Ereignisfilter, um alle erfassten Ereignisse im Zusammenhang mit Cisco IPS-Signaturen zurückzugeben 1281/0, 1281/1, 1329/0, 1331/0, 133 34/0, 1333/0, 1279/0, 5232/0, 1335/0 und 1326/0

  Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.

  • Verwenden Sie den Ereignisfilter Quelle, um Netzwerkobjekte zu filtern, die den IP-Adressraum enthalten, der von den betroffenen Geräten verwendet wird (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
  • Verwenden Sie den Ereignisfilter des Quelldiensts, um Objekte zu filtern, die die TCP-Ports 139 und 445 enthalten.

  Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht Firewall Denied Events (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Syslog-Meldungen Deny bereitzustellen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:

  • ASA-4-106023 (ACL verweigert)

  Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.

  Cisco Security Manager Report Manager

  Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.

  Mithilfe des Berichts-Managers kann der Benutzer einen IPS-Bericht mit den besten Signaturen für die von ihm betroffenen Cisco IPS-Geräte basierend auf Zeitbereich und Signatureigenschaften definieren. Wenn die Signature-ID auf 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 oder 1 eingestellt ist 326/0 erstellt Cisco Security Manager einen umfassenden Bericht, in dem die Anzahl der für die betreffende Signatur ausgelösten Warnungen im Vergleich zur Gesamtsumme aller in dem Bericht angezeigten Signaturwarnungen aufgeführt wird.

  Ebenfalls im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:

  • Verwenden Sie den IP-Quellnetzwerkfilter, um Netzwerkobjekte zu filtern, die den IP-Adressraum enthalten, der von den betroffenen Geräten verwendet wird (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
  • Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"

  Weitere Informationen zu Cisco Security Manager IPS Event Reporting finden Sie im Abschnitt Understanding IPS Top Reports im Cisco Security Manager User Guide.

  Identifikation: Event Management System - Partnerveranstaltungen

  Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und vorab getesteter SIEM-Systeme, die auf geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte eingehen. Partnerprodukte für das Security Information and Event Management können zum Erfassen von Ereignissen von Cisco Geräten und anschließenden Abfragen der erfassten Ereignisse nach Vorfällen verwendet werden, die durch eine Cisco IPS-Signatur verursacht wurden, oder Syslog-Meldungen von Firewalls verweigern, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:

  • 1281/0 Microsoft XML Core Services Remote Code-Ausführung
  • 1281/1 Microsoft XML Core Services Remote Code-Ausführung
  • 1329/0 Microsoft Internet Explorer 9 Ausführung von Remotecode im Cache
  • 1331/0 Microsoft Internet Explorer - Remote-Codeausführung
  • 1334/0 Microsoft Windows ADO Heap-Überlauf
  • 1333/0 Microsoft Windows Registered Application Handler - Sicherheitslücke
  • 1279/0 Microsoft Internet Explorer und Lync HTML Sanitization Cross-Site Scripting
  • 5232/0 URL mit XSS
  • 1335/0 Microsoft SharePoint Cross Site Scripting Attack
  • 1326/0 Microsoft SharePoint Reflected List Parameter Vulnerability
  • ASA-4-106023 (ACL verweigert)

  Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).

Zusätzliche Informationen

• Zusätzliche Informationen

  Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

• Version	Beschreibung	Abschnitt	Datum
  2	IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 17. Juli 2012 verfügbar.		19. Juli 2012, 19:53 Uhr GMT
  1	: Diese Erstversion des Cisco Applied Mitigation Bulletin behandelt das Microsoft Security Bulletin vom Juli 2012.		10. Juli 2012, 17:33 Uhr GMT

  Weniger anzeigen

Cisco Sicherheitsverfahren

• Cisco Sicherheitsverfahren

  Vollständige Informationen über das Melden von Sicherheitslücken in Cisco Produkten, den Erhalt von Unterstützung bei Sicherheitsvorfällen und die Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie unter Cisco.com unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Diese Webseite enthält Anweisungen für Presseanfragen zu Cisco Security Advisories. Alle Cisco Security Advisories stehen unter http://www.cisco.com/go/psirt zur Verfügung.

Zugehörige Informationen

• Zugehörige Informationen

  • Microsoft Security Bulletin-Zusammenfassung für Juli 2012
  • Cisco Applied Mitigation Bulletins
  • Cisco Security
  • Cisco Leitfaden zum Absichern von Cisco IOS-Geräten
  • Überblick über die XSS-Bedrohungsvektoren (Cross-Site Scripting)
  • Cisco IOS NetFlow - Startseite auf Cisco.com
  • Cisco IOS NetFlow-Whitepaper
  • NetFlow-Leistungsanalyse
  • Cisco Network Foundation Protection - Whitepaper
  • Cisco Network Foundation Protection - Präsentationen
  • Ein sicherheitsorientierter Ansatz für die IP-Adressierung
  • Sichern der Tool Command Language auf Cisco IOS
  • Cisco Firewall-Produkte - Startseite auf Cisco.com
  • Cisco Catalyst ASA Services Module der Serie 6500
  • Cisco Intrusion Prevention System
  • Cisco IPS-Signatur-Downloads
  • Seite für die Suche nach Cisco IPS-Signaturen
  • Cisco Security Manager
  • Common Vulnerabilities and Exposures (CVE)

Betroffene Produkte

• Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
  
  

  Primäre Produkte
  Microsoft, Inc.	Windows 7	für 32-Bit-Systeme (Base, SP1) | für x64-basierte Systeme (Basis, SP1)
  	Windows Server 2003	Datacenter Edition (Base, SP1, SP2) | Datacenter Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Web Edition (Base, SP1, SP2)
  	Windows Server 2008	Datacenter Edition (Base, SP1, SP2) | Datacenter Edition, 64-Bit (Basis, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-Bit (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-Bit (Base, SP1, SP2)
  	Windows Server 2008 R2	x64-basierte Systems Edition (Base, SP1) | Itanium-basierte Systems Edition (Base, SP1)
  	Windows Vista	Home Basic (Basis, SP1, SP2) | Home Premium (Basis, SP1, SP2) | Unternehmen (Basis, SP1, SP2) | Enterprise (Basis, SP1, SP2) | Ultimate (Basis, SP1, SP2) | Home Basic x64 Edition (Base, SP1, SP2) | Home Premium x64 Edition (Basis, SP1, SP2) | Business x64 Edition (Basis, SP1, SP2) | Enterprise x64 Edition (Base, SP1, SP2) | Ultimate x64 Edition (Base, SP1, SP2)

  
  
  

  Zugehörige Produkte
  Cisco	Cisco Broadband-Problemhilfe	Ursprüngliche Version (Basis) | 3.1 (Basis) | 3.2 (Basis)
  	Cisco Building Broadband Service Manager (BBSM)	Ursprüngliche Version (Basis) | 2,5 (.1) | 3,0 (Basis) | 4,0 (Basis, 0,1) | 4.2 (Basis) | 4,3 (Basis) | 4,4 (Basis) | 4,5 (Basis) | 5,0 (Basis) | 5.1 (Basis) | 5.2 (Basis)
  	Cisco CNS Network Registrar	2,5 (Basis) | 3,0 (Basis) | 3,5 (Basis, 0,1) | 5,0 (Basis) | 5,5 (Basis, 0,13) | 6,0 (.5, .5.2, .5.3, .5.4) | 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4)
  	Cisco Collaboration Server Dynamic Content Adapter (DCA)	Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis, (1)_SR2)
  	Cisco CTI-Option (Computer Telefony Integration)	4.7 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 5.1 (0)_SR1, (0)_SR2, (0)_SR3 | 6,0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5 | 7,0 (0)_SR1, (0)_SR2 | 7,1 (2), (3), (4), (5)
  	Cisco Konferenzverbindung	1.1 (3), (3)spA) | 1,2 (Basis, (1), (2), (2) SR1, (2) SR2)
  	Cisco E-Mail Manager	Ursprüngliche Version (Basis) | 4,0 (Basis, .5i, .6) | 5,0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
  	Cisco Emergency Responder	1,1 (Basis, (3), (4) | 1.2 (Basis, (1), (1) SR1, (2) SR1, (3)a, (3)SR1, (3a)SR2) | 1,3 (Basis, (1a), (2))
  	Cisco Intelligent Contact Manager (ICM)	Ursprüngliche Version (Basis) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6 | 5,0 (0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 7,1 (2), (3), (4), (5)
  	Cisco Unified Contact Center	Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2 , 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1, 4.1(1)_SR1, 4.5 (2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1 | Hosted Edition (Basis, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
  	Cisco Unified IP IVR	2,0 (0,2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3,0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 (1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5 | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4,0 (1)_SR1, (4)_SR1 | 4,1 (1)_SR1 | 4,5 (2)_SR1, (2)_SR2 | 5,0 (1)_SR1
  	Cisco IP Interoperability and Collaboration System (IPICS)	1,0 (1,1)
  	Cisco IP Queue Manager	2.2 (Basis)
  	Cisco IP/VC 3540 Anwendungsserver-Modul	3,2 (.0.1, .138) | 3,5 (.0,8)
  	Cisco IP/VC 3540 Rate Matching-Modul	3,0 (0,9)
  	Cisco Media Blender	Ursprüngliche Version (Basis) | 3,0 (Basis) | 4,0 (Basis) | 5,0 (Basis, (0)_SR1, (0)_SR2)
  	Cisco Networking Services für Active Directory	Ursprüngliche Version (Basis)
  	Cisco Outbound-Option	Ursprüngliche Version (Basis)
  	Cisco Personal Assistant	1,0 (Basis, 1) | 1,1 (Basis) | 1,3 (Basis, .1, .2, .3, .4) | 1,4 (Basis, 0,2, 0,3, 0,4, 0,5, 0,6)
  	Cisco Remote Monitoring Suite-Option	1,0 (Basis) | 2,0 (Basis, (0)_SR1)
  	Cisco Secure Access Control Server (ACS) für Windows	2,6 (Basis) | 2.6.3.2 (Basis) | 2.6.4 (Basis) | 2.6.4.4 (Basis) | 3,0 (Basis) | 3.0.1 (Basis) | 3.0.1.40 (Basis) | 3.0.2 (Basis) | 3.0.3 (Basis) | 3.0.3.6 (Basis) | 3.0.4 (Basis) | 3.1.1 (Basis) | 3.1.1.27 (Basis) | 3.1.2 (Basis) | 3.2 (Basis) | 3.2.1 (Basis) | 3.2.3 (Basis) | 3.3.1 (Basis) | 3.3.2.2 (Basis) | 3.3.1.16 (Basis) | 3.3.3.11 (Basis) | 4,0 (Basis) | 4.0.1 (Basis) | 4.0.1.27 (Basis) | 4.1.1.23 (Basis)
  	Cisco Secure Access Control Server Solution Engine (ACSE)	3.1 (Basis, .1) | 3.2 (Basis, .1.20, .2.5, .3) | 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) | 4,0 (Basis, .1, .1.42, .1.44, .1.49) | 4.1 (Basis, .1.23, .1.23.3, .3, .3.12)
  	Cisco Secure User Registration Tool (URT)	Ursprüngliche Version (Basis) | 1,2 (Basis, 0,1) | 2,0 (Basis, 0,7, 0,8) | 2,5 (Basis, .1, .2, .3, .4, .5)
  	Cisco SN 5420 Storage-Router	1,1 (Basis, 0,3, 0,4, 0,5, 0,7, 0,8) | 2.1 (.1, .2)
  	Cisco SN 5428-2 Storage-Router	3,2 (.1, .2) | 3,3 (.1, .2) | 3,4 (.1) | 3,5 (Basis, .1, .2, .3, .4)
  	Cisco TrailHead	Ursprüngliche Version (Basis) | 4,0 (Basis)
  	Cisco Unified Communications Manager	Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis) | 3,0 (Basis) | 3.0.3(a) (Basis) | 3.1 (Basis, .1, .2, .3a) | 3.1(1) (Basis) | 3.1(2) (Basis) | 3.1(2)SR3 (Basis) | 3.1(3) (Basis) | 3.1(3)SR2 (Basis) | 3.1(3)SR4 (Basis) | 3.2 (Basis) | 3.2(3)SR3 (Basis) | 3,3 (Basis) | 3.3(2)SPc (Basis) | 3.3(3) (Basis) | 3.3(3)ES61 (Basis) | 3.3(3)SR3 (Basis) | 3.3(3)SR4a (Basis) | 3.3(3a) (Basis) | 3.3(4) (Basis) | 3.3(4)ES25 (Basis) | 3.3(4)SR2 (Basis) | 3.3(4c) (Basis) | 3.3(5) (Basis) | 3.3(5)ES24 (Basis) | 3.3(5)SR1 (Basis) | 3.3(5)SR1a (Basis) | 3.3(5)SR2 (Basis) | 3.3(5)SR2a (Basis) | 3.3(5)SR3 (Basis) | 3.3(59) (Basis) | 3.3(61) (Basis) | 3.3(63) (Basis) | 3.3(64) (Basis) | 3.3(65) (Basis) | 3.3(66) (Basis) | 3.3(67,5) (Basis) | 3.3(68.1) (Basis) | 3.3(71,0) (Basis) | 3.3(74,0) (Basis) | 3.3(78) (Basis) | 3.3(76) (Basis) | 4,0 (.1, .2) | 4.0(2a)ES40 (Basis) | 4.0(2a)ES56 (Basis) | 4.0(2a)SR2b (Basis) | 4.0(2a)SR2c (Basis) | 4.1 (Basis) | 4.1(2) (Basis) | 4.1(2)ES33 (Basis) | 4.1(2)ES50 (Basis) | 4.1(2)SR1 (Basis) | 4.1(3) (Basis) | 4.1(3)ES (Basis) | 4.1(3)ES07 (Basis) | 4.1(3)ES24 (Basis) | 4.1(3)SR (Basis) | 4.1(3)SR1 (Basis) | 4.1(3)SR2 (Basis) | 4.1(3)SR3 (Basis) | 4.1(3)SR3b (Basis) | 4.1(3)SR3c (Basis) | 4.1(3)SR4 (Basis) | 4.1(3)SR4b (Basis) | 4.1(3)SR4d (Basis) | 4.1(3)SR5 (Basis) | 4.1(4) (Basis) | 4.1(9) (Basis) | 4.1(17) (Basis) | 4.1(19) (Basis) | 4.1(22) (Basis) | 4.1(23) (Basis) | 4.1(25) (Basis) | 4.1(26) (Basis) | 4.1(27.7) (Basis) | 4.1(28.2) (Basis) | 4.1(30.4) (Basis) | 4.1(36) (Basis) | 4.1(39) (Basis) | 4.2(1) (Basis) | 4.2(1)SR1b (Basis) | 4.2(1.02) (Basis) | 4.2(1.05.3) (Basis) | 4.2(1.06) (Basis) | 4.2(1.07) (Basis) | 4.2(3) (Basis) | 4.2(3)SR1 (Basis) | 4.2(3)SR2 (Basis) | 4.2(3.08) (Basis) | 4.2(3.2.3) (Basis) | 4.2(3.3) (Basis) | 4.2(3.13) (Basis) | 4.3(1) (Basis) | 4.3(1)SR (Basis) | 4,3(1,57) (Basis)
  	Cisco Unified Customer Voice Portal (CVP)	3,0 (0), (0)SR1, (0)SR2) | 3.1 (0), (0)SR1, (0)SR2) | 4,0 (0), (1), (1)SR1, (2)
  	Cisco Unified MeetingPlace	4.3 (Basis) | 5.3 (Basis) | 5.2 (Basis) | 5,4 (Basis) | 6,0 (Basis)
  	Cisco Unified MeetingPlace Express	1.1 (Basis) | 1,2 (Basis) | 2,0 (Basis)
  	Cisco Unity	Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis) | 2,4 (Basis) | 2,46 (Basis) | 3,0 (Basis, 0,1) | 3.1 (Basis, .2, .3, .5, .6) | 3.2 (Basis) | 3,3 (Basis) | 4,0 (Basis, .1, .2, .3, .3b, .4, .5) | 4.1 (Basis, .1) | 4.2 (Basis, .1, .1 ES27) | 5,0 (1) | 7,0 (2)
  	Cisco Unity Express	1.0.2 (Basis) | 1.1.1 (Basis) | 1.1.2 (Basis) | 2.0.1 (Basis) | 2.0.2 (Basis) | 2.1.1 (Basis) | 2.1.2 (Basis) | 2.1.3 (Basis) | 2.2.0 (Basis) | 2.2.1 (Basis) | 2.2.2 (Basis) | 2.3.0 (Basis) | 2.3.1 (Basis)
  	Cisco Wireless Control System (WCS)-Software	1,0 (Basis) | 2,0 (Basis, 44,14, 44,24) | 2,2 (.0, .111.0) | 3,0 (Basis, .101.0, .105.0) | 3.1 (Basis, .20.0, .33.0, .35.0) | 3.2 (Basis, .23.0, .25.0, .40.0, .51.0, .64.0) | 4,0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1 (Basis, .83.0)
  	CiscoWorks IP Telefony Environment Monitor (ITEM)	1,3 (Basis) | 1,4 (Basis) | 2,0 (Basis)
  	CiscoWorks LAN Management-Lösung (LMS)	1,3 (Basis) | 2.2 (Basis) | 2,5 (Basis) | 2,6 (Basis)
  	CiscoWorks QoS Policy Manager (QPM)	2,0 (Basis, .1, .2, .3) | 2,1 (.2) | 3,0 (Basis, 0,1) | 3.1 (Basis) | 3.2 (Basis, .1, .2, .3)
  	CiscoWorks Routed WAN Management Solution (RWAN)	1,0 (Basis) | 1,1 (Basis) | 1,2 (Basis) | 1,3 (Basis, 0,1)
  	CiscoWorks Small Network Management-Lösung (SNMS)	1,0 (Basis) | 1,5 (Basis)
  	CiscoWorks VPN/Security Management Solution (VMS)	1,0 (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis)
  	Cisco Collaboration-Server	3,0 (Basis) | 3,01 (Basis) | 3,02 (Basis) | 4,0 (Basis) | 5,0 (Basis)
  	Cisco DOCSIS CPE-Konfigurator	1,0 (Basis) | 1,1 (Basis) | 2,0 (Basis)
  	Cisco Unified IP Interactive Voice Response (IVR)	2,0 (Basis) | 2.1 (Basis)
  	Cisco Service Control Engine (SCE)	3,0 (Basis) | 3.1 (Basis)
  	Cisco Transport Manager	Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis, .1) | 3,0 (Basis, .1, .2) | 3.1 (Basis) | 3.2 (Basis) | 4,0 (Basis) | 4.1 (Basis, .4, .6, .6.6.1) | 4,6 (Basis) | 4,7 (Basis) | 5,0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6,0 (Basis, 0,405,1, 0,407,1, 0,412,1) | 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) | 7.2 (Basis, 0.0.199.1)