Aktualisiert:6. August 2016

Dokument-ID:1470489976916204

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Cisco Applied Mitigation Bulletin

Cisco Applied Mitigation Bulletin: Version von Microsoft Security Bulletin für Februar 2013

Dokument-ID:

28050

Zuerst veröffentlicht:

2013 Februar 12 19:20 GMT

Letzte Aktualisierung:

2013 Februar 27 14:38 GMT

Version:

CVE 2013-0015

CVE 2013-0018

CVE 2013-0019

Mehr...

CVE 2013-0015

CVE 2013-0018

CVE 2013-0019

Mehr...

Antwort von Cisco

Antwort von Cisco

Im Rahmen des monatlichen Security Bulletins vom 12. Februar 2013 kündigte Microsoft zwölf Security Bulletins an, in denen 57 Sicherheitslücken geschlossen werden. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms13-feb. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.

Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können durch webbasierte Angriffe ausgenutzt werden (dazu gehören u. a. Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhänge und/oder Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:
- MS13-009
- MS13-010
- MS13-011
- MS13-012
- MS13-013
- MS13-016
- MS13-017
- MS13-018
- MS13-019
- MS13-020
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.
- MS13-014
- MS13-015
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom Februar 2013 verwiesen wird.

Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.

Merkmale der Schwachstelle

MS13-014, Vulnerability in NFS Server Could Denial of Service (2790978): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-1281 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann das betroffene Gerät abstürzen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor ist das NFS-Protokoll (Network File System), das 2049-Pakete des TCP-Ports verwendet.

MS13-015,Schwachstelle in .NET Framework Could Elevation of Privilege (2800277): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-0073 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordert eine Benutzerinteraktion. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können die Berechtigungen erhöht werden. Der Angriffsvektor für die Ausnutzung dieser Schwachstelle ist eine speziell entwickelte XAML-Browseranwendung (Extensible Application Markup Language). XAML-Anwendungen werden über HTTP-Pakete ausgeführt, die normalerweise den TCP-Port 80 verwenden, aber auch die TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.

Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500, das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 sowie die Cisco ACE Application Control Engine Appliance und das Modul bieten Schutz für potenzielle Versuche, diese Schwachstellen auszunutzen (ein Thema) , die in diesem Dokument enthalten ist). Site-übergreifendes Skripting und Phishing könnten ebenfalls eingesetzt werden, um diese Schwachstellen auszunutzen. Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstellen finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.

Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in der Microsoft Security Bulletin Summary for February 2013 unter dem folgenden Link: http://technet.microsoft.com/en-us/security/bulletin/ms13-feb

Überblick über Sicherheitslücken

Überblick über die Risikominderungstechnik

Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern, können mithilfe von webbasierten Angriffen (wie z. B. Site-übergreifendem Scripting, Phishing und webbasierten E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden, oder Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:
- MS13-009
- MS13-010
- MS13-011
- MS13-012
- MS13-013
- MS13-016
- MS13-017
- MS13-018
- MS13-019
- MS13-020
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunktschutzsoftware wie Host Intrusion Prevention System (HIPS) oder Antivirus-Produkte behoben.

Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
- MS13-014
- MS13-015
Die Cisco IOS Software bietet mithilfe von Transit-Zugriffskontrolllisten (tACLs) effektive Möglichkeiten zur Verhinderung von Exploits.

Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, die Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk haben.

Eine effektive Exploit-Abwehr kann auch mit den Cisco Adaptive Security Appliances der Serie ASA 5500, dem Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und dem Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit den folgenden Methoden erreicht werden:
- tACL
- Protokollüberprüfung auf Anwendungsebene
Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, die Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk haben.

Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten zudem mithilfe der Anwendungsprotokollüberprüfung einen effektiven Schutz vor Exploits.

Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.

Die Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM-Firewalls sowie die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die versuchen, diese Schwachstelle auszunutzen, wie weiter unten in diesem Dokument beschrieben.

Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.

Risikomanagement

Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

Cisco IOS-Router und -Switches
Cisco IOS-NetFlow
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Cisco ACE
Cisco Intrusion Prevention System
Cisco Security Manager

Cisco IOS-Router und -Switches

Eindämmung: Transit-Zugriffskontrolllisten

Für MS13-014 wird Administratoren empfohlen, Transit-Zugriffskontrolllisten (tACLs) bereitzustellen, um das Netzwerk vor Datenverkehr zu schützen, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die tACL-Richtlinie verweigert nicht autorisierte NFS IPv4- und IPv6-Pakete auf dem TCP-Port 2049, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.

!-- Include explicit permit statements for trusted sources 
!-- that require access on the vulnerable TCP port 2049
!-- for MS13-014!
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2049
!!!-- The following vulnerability-specific access control entries 
!-- (ACEs) can aid in identification of attacks against MS13-014!
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2049
!!!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance 
!-- with existing security policies and configurations! 
!-- Explicit deny for all other IP traffic!
access-list 150 deny ip any any
!
!-- Create the corresponding IPv6 tACL!
ipv6  access-list IPv6-Transit-ACL-Policy
 ! !-- Include explicit permit statements for trusted sources 
!-- that require access on the vulnerable port and protocol 
!-- for MS13-014 ! !
  permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 2049
 ! !-- The following vulnerability-specific ACEs can 
!-- aid in identification of attacks to global and 
!-- link-local addresses !
  deny tcp any 2001:DB8:1:60::/64 eq 2049
 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in 
!-- accordance with existing security policies and configurations 
!-- and allow IPv6 neighbor discovery packets, which 
!-- include neighbor solicitation packets and neighbor 
!-- advertisement packets !
  permit icmp any any nd-ns
  permit icmp any any nd-na
  ! 
!-- Explicit deny for all other IPv6 traffic !
  deny ipv6 any any
 !
 ! !-- Apply tACLs to interfaces in the ingress direction !
interface GigabitEthernet0/0
 ip access-group 150 in
 ipv6 traffic-filter IPv6-Transit-ACL-Policy in

Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls ip icmp rate-limit unreachable interval-in-ms ipv6 icmp error-interval-interval-in-ms vom Standard geändert werden.

Identifizierung: Transit-Zugriffskontrolllisten

Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der gefilterten NFS IPv4- und IPv6-Pakete auf dem TCP-Port 2049. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists 150 und show ipv6 access-list IPv6-Transit-ACL-Policy:

router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2049
    20 deny tcp any 192.168.60.0 0.0.0.255 eq 2049 (12 matches)
    30 deny ip any any
router#

Im vorherigen Beispiel hat die Zugriffsliste 150 12 NFS-Pakete auf dem TCP-Port 2049 für die ACE-Leitung 20 verworfen

router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 2049 (55 matches) sequence 10
    deny tcp any 2001:DB8:1:60::/64 eq 2049 (30 matches) sequence 20
    permit icmp any any nd-ns (41 matches) sequence 30
    permit icmp any any nd-na (89 matches) sequence 40
    deny ipv6 any any (21 matches) sequence 50

Im vorherigen Beispiel hat die Zugriffsliste IPv6-Transit-ACL-Policy 30 NFS-Pakete auf dem TCP-Port 2049 für die ACE-Leitung 20 verworfen.

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security.

Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Cisco Security Whitepaper Embedded Event Manager in a Security Context enthält weitere Informationen zur Verwendung dieser Funktion.

Identifizierung: Protokollierung der Zugriffsliste

Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.

Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.

Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.

Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.

Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security.

Cisco IOS NetFlow und Cisco IOS Flexible NetFlow

Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow

Für MS13-014 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebene Schwachstelle mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 00A1     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  11 0911 00A1     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   11 0B3E 00A1     5
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 0B89 0801     1
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

Im vorherigen Beispiel gibt es mehrere Datenflüsse für NFS auf dem TCP-Port 2049 (Hexadezimalwert 0801).

Um nur die Datenverkehrsflüsse für NFS-Pakete auf dem TCP-Port 2049 (Hexadezimalwert 0801) anzuzeigen, verwenden Sie den Befehl show ip cache flow | include SrcIf|_06_.*0801 command to display the related Cisco NetFlow records: TCP Flows

router#show ip cache flow | include SrcIf|_06_.*0801
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  06 092A 0801     6
Gi0/0         192.168.11.230   Gi0/1         192.168.60.20   06 0C09 0801     1
Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  06 0B66 0801    18
Gi0/0         192.168.13.7     Gi0/1         192.168.60.162  06 0914 0801     1
Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   06 0B7B 0801     2

Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow

Für MS13-014 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebenen Schwachstellen ausnutzen können. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.

router#show ipv6 flow cache

IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x13C4 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0801 1597
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x0801 1001  
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x13C4 1292  
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193

Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

Im vorherigen Beispiel gibt es mehrere IPv6-Flows für NFS auf dem TCP-Port 2049 (Hexadezimalwert 0801).

Um nur die Datenverkehrsflüsse für NFS-Pakete auf dem TCP-Port 2049 (Hexadezimalwert 0801) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcIf|_06_.*0801_ command to display the related Cisco NetFlow records:

TCP-Flows

router#show ipv6 flow cache | include SrcIf|_06_.*0801_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0801 1597
router#

Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.

Für MS13-014 können Administratoren Cisco IOS Flexible NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebene Schwachstelle mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

!!-- Configure key and nonkey fields
!-- in the user-defined flow record!
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
!!-- Configure the flow monitor to
!-- reference the user-defined flow 
!-- record !
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
!!-- Apply the flow monitor to the interface
!-- in the ingress direction!
interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input

Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR   ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot
=============   ============= ============= ============= ========== =========== ==== =======
192.168.10.201  192.168.60.102         1456            80      Gi0/0       Gi0/1 1128       6
 192.168.11.54  192.168.60.158          123          2049      Gi0/0       Gi0/1 2212       6
192.168.150.60    10.89.16.226         2567           443      Gi0/0       Gi0/1   13       6
 192.168.13.97   192.168.60.28         3451          2049      Gi0/0       Gi0/1    1       6
 192.168.10.17   192.168.60.97         4231          5060      Gi0/0       Gi0/1  146      17
  1 0.88.226.1  192.168.202.22         2678           443      Gi0/0       Gi0/1  567       6
  10.89.16.226  192.168.150.60         3562            80      Gi0/0       Gi0/1  312       6

So zeigen Sie nur die NFS-Pakete an Verwenden Sie auf dem TCP-Port 2049 die Formattabelle show flow monitor FLOW-MONITOR-ipv4. | IPV4 DST-ADDR einschließen |_2049_.*_6_, um die zugehörigen NetFlow-Datensätze anzuzeigen.

Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow-Konfigurationsleitfaden, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow-Konfigurationsleitfaden, Version 12.4T.

Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

Für MS13-014 können Administratoren Cisco IOS Flexible NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebenen Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse basierend auf der IPv6-Quelladresse, wie in der Schlüsselfeldanweisung match ipv6 source address definiert. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

!!-- Configure key and nonkey fields
!-- in the user-defined flow record!
flow record FLOW-RECORD-ipv6
 match ipv6 source address
 collect ipv6 protocol
 collect ipv6 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
!!-- Configure the flow monitor to
!-- reference the user-defined flow 
!-- record !
flow monitor FLOW-MONITOR-ipv6
 record FLOW-RECORD-ipv6
!!-- Apply the flow monitor to the interface
!-- in the ingress direction!
interface GigabitEthernet0/0
  ipv6 flow monitor FLOW-MONITOR-ipv6 input

Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                2

  Flows added:                                   539
  Flows aged:                                    532
    - Active timeout      (  1800 secs)          350
    - Inactive timeout    (    15 secs)          182
    - Event aged                                   0
    - Watermark aged                               0
    - Emergency aged                               0

IPV6 SRC ADDR     ipv6 dst addr     trns src port trns dst port intf input intf output pkts ip prot
================= ================= ============= ============= ========== =========== ==== =======
2001:DB...06::201  2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
2001:DB...06::201  2001:DB...28::20          1265          2049      Gi0/0       Gi0/0 1237       6
2001:DB...06::201  2001:DB...28::20          1441           443      Gi0/0       Gi0/0 2346       6
2001:DB...06::201  2001:DB...28::20          1890          2049      Gi0/0       Gi0/0 5009       6
2001:DB...06::201  2001:DB...28::20          2856          5060      Gi0/0       Gi0/0  486      17
2001:DB...06::201  2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
2001:DB...06::201  2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

Um nur das NFS auf dem TCP-Port 2049 anzuzeigen, verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv6 cache | fügen Sie den IPV6 DST ADDR|_2049_.*_6_-Befehl ein, um die zugehörigen Cisco IOS Flexible NetFlow-Datensätze anzuzeigen.

Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

Eindämmung: Transit-Zugriffskontrolllisten

Für MS13-014 wird Administratoren empfohlen, zum Schutz des Netzwerks vor Datenverkehr, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten, tACLs bereitzustellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die tACL-Richtlinie verweigert nicht autorisierte NFS IPv4- und IPv6-Pakete auf dem TCP-Port 2049, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

!!-- Include explicit permit statements for trusted sources 
!-- that require access on the vulnerable protocol and port
!-- for MS13-014!
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 2049
!!-- The following vulnerability-specific ACEs 
!-- can aid in identification of attacks!
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 2049
!!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance 
!-- with existing security policies and configurations! 
!-- Explicit deny for all other IP traffic!
access-list tACL-Policy extended deny ip any any
!!-- Create the corresponding IPv6 tACL! 
!-- Include explicit permit statements for trusted sources 
!-- that require access on the vulnerable port and protocol
!-- for MS13-014 !
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1
          2001:db8:1:60::/64 eq 2049
!!-- The following vulnerability-specific access control entries 
!-- (ACEs) can aid in identification of attacks!
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 2049
!!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance 
!-- with existing security policies and configurations! 
!-- Explicit deny for all other IP traffic!
ipv6 access-list IPv6-tACL-Policy deny ip any any
!!-- Apply tACLs to interfaces in the ingress direction!
access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

Identifizierung: Transit-Zugriffskontrolllisten

Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der gefilterten NFS-IPv4- und IPv6-Pakete auf dem TCP-Port 2049 identifizieren. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show access-list tACL-Policy und show access-list IPv6-tACL-Policy:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 3 elements; name hash: 0x3452703d
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq nfs (hitcnt=31)
access-list tACL-Policy line 2 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq nfs (hitcnt=8)
access-list tACL-Policy line 3 extended deny ip any any (hitcnt=8)

Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy 8 NFS-Pakete auf dem TCP-Port 2049 verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 3 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 
     2001:db8:1:60::/64 eq nfs (hitcnt=59)
ipv6 access-list IPv6-tACL-Policy line 2 deny tcp any 
     2001:db8:1:60::/64 eq nfs (hitcnt=47)
ipv6 access-list IPv6-tACL-Policy line 3 deny ip any any (hitcnt=27)

Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy 47 NFS-Pakete auf dem TCP-Port 2049 verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

Identifizierung: Firewall Access List, Syslog-Meldungen

Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.

Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

firewall#show logging | grep 106023
  Feb 11 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/2049 by access-group "tACL-Policy"
  Feb 11 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:2::2:172/2987
         dst inside:2001:db8:1:60::23/2049 by access-group "IPv6-tACL-Policy"
firewall#

Im vorherigen Beispiel zeigen die für die tACLs tACL-Policy und IPv6-tACL-Policy protokollierten Meldungen NFS-Pakete für den TCP-Port 2049 an, die an den betroffenen Geräten zugewiesenen Adressblock gesendet wurden.

Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Cisco Security Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events.

Eindämmung: Protokollüberprüfung auf Anwendungsebene

Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Dies geschieht durch die Konfiguration von Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen, die mithilfe einer globalen Richtlinie oder einer Schnittstellendienstrichtlinie angewendet werden.

Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Configuring Application Layer Protocol Inspection des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 and the Configuring Application Inspection section of the Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5.

Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.

HTTP-Anwendungsinspektion
Für MS13-015 können Administratoren mithilfe der HTTP-Prüfungs-Engine auf den Adaptive Security Appliances der Serie Cisco ASA 5500, den Cisco ASA Services Modules der Serie 6500 und dem Cisco Firewall Services Module reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Prüfklassen- und Prüfrichtlinienzuordnungen erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Bei der folgenden HTTP-Anwendungsinspektionskonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Inspektion des Datenverkehrs an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Diese sind die Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsinspektionsrichtlinie verwirft Verbindungen, bei denen der HTTP-Antworttext einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Sicherheitslücken verknüpft ist.

Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.

Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die Cisco Firewall-Technologien nutzen, finden Sie im Cisco Security Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection.

!!-- Configure regexes that are associated with these vulnerabilities: 
!-- MS13-015 XAML Browser files: .xbap 
!-- XAML Browser application type: application/xaml+xml! 
regex MS13-015_1_regex "\.[Xx][Bb][Aa][Pp]"
regex MS13-015_2_regex "application\x2f[Xx][Aa][Mm][Ll]\x2b
                [Xx][Mm][Ll]"
! !-- Configure regex classes to match on the regular 
!-- expressions that are configured above! 
class-map type regex match-any MS13-015_regex_class
 match regex MS13-015_1_regex
 match regex MS13-015_2_regex
!!-- Configure an object group for the default ports that 
!-- are used by the Cisco IPS #WEBPORTS variable, which 
!-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, 
!-- and 24326!
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
!!-- Configure an access list that uses the WEBPORTS object 
!-- group, which will be used to match TCP packets that 
!-- are destined to the #WEBPORTS variable that is used 
!-- by a Cisco IPS device!
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
!!-- Configure a class that uses the above-configured 
!-- access list to match TCP packets that are destined 
!-- to the ports that are used by the Cisco IPS #WEBPORTS
!-- variable!
class-map Webports_Class
 match access-list Webports_ACL
!!-- Configure an HTTP application inspection policy that 
!-- identifies, drops, and logs connections that contain 
!-- the regexes that are configured above! 
policy-map type inspect http MS_Feb_2013_policy
 parameters
!!-- "body-match-maximum" indicates the maximum number of 
!-- characters in the body of an HTTP message that 
!-- should be searched in a body match. The default value is 
!-- 200 bytes. A large number such as shown here may have an 
!-- impact on system performance. Administrators are advised 
!-- to test performance impact in a lab environment before 
!-- this command is deployed in production environments! 
body-match-maximum 1380
 match response body regex class MS13-015_regex_class
  drop-connection log
!!-- Add the above-configured "Webports_Class" that matches 
!-- TCP packets that are destined to the default ports 
!-- that are used by the Cisco IPS #WEBPORTS variable to 
!-- the default policy "global_policy" and use it to 
!-- inspect HTTP traffic that transits the firewall! 
policy-map global_policy
 class Webports_Class
  inspect http MS_Feb_2013_policy 
!!-- By default, the policy "global_policy" is applied 
!-- globally, which results in the inspection of 
!-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 for Configuring Object Groups and the Configuring Objects and Access Lists im Cisco Catalyst ASA Services Module CLI Configuration Guide, 8.5.

Weitere Informationen zur HTTP-Anwendungsinspektion und zur MPF finden Sie im Abschnitt HTTP Inspection Overview des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2.

Identifikation: Application Layer Protocol Inspection

Die Firewall-Syslog-Meldung 41507 wird generiert, wenn ein HTTP-Nachrichtentext mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 415.007.

Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstellen auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.

Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

HTTP-Anwendungsinspektion

firewall#show logging | grep 415007

  Feb 11 2013 14:35:55: %ASA-5-415007: HTTP - matched regex 
         class MS13-015_regex_class in policy-map MS_Feb_2013_policy, 
         Body matched - Dropping connection from 
             inside:192.168.60.86/2133 to 
             outside:192.0.2.63/80 Feb 11 2013 14:36:03: 
 %ASA-5-415007: HTTP - matched regex 
         class MS13-015_regex_class in policy-map MS_Feb_2013_policy, 
         Body matched - Dropping connection from 
             inside:192.168.60.87/2129 to outside:192.0.2.63/80

Bei aktivierter HTTP-Anwendungsprüfung identifiziert der Befehl show service-policy inspect protocol die Anzahl der HTTP-Pakete, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy inspect http:

firewall# show service-policy inspect http
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
    Class-map: Webports_Class
      Inspect: http MS_Feb_2013_policy, packet 5025, drop 20, reset-drop 0
       protocol violations
          packet 0        
               match response body regex class MS13-015_regex_class
         drop-connection log, packet 20

Im vorherigen Beispiel wurden 5.025 HTTP-Pakete überprüft und 20 HTTP-Pakete verworfen.

Cisco ACE

Eindämmung: Anwendungsprotokollüberprüfung

Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der das Cisco ACE-Gerät durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.

Weitere Informationen zur Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.

HTTP Deep Packet Inspection

Zur Durchführung von HTTP Deep Packet Inspection für MS13-015 können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie den in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsprotokollprüfungsrichtlinie löscht Verbindungen, bei denen der HTTP-Inhalt einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit den Webseiten übereinstimmen, die mit diesen Schwachstellen in Verbindung stehen.

Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, nicht beeinträchtigt werden.

! !-- Configure an HTTP application inspection class that 
!-- looks for HTTP packets that contain a combination of 
!-- MS13-015 XAML Browser files: .xbap 
!-- XAML Browser application type: application/xaml+xml! 
class-map type http inspect match-any MS13-015_class
  match content ".*\.[Xx][Bb][Aa][Pp].*"
  match content ".*application\x2f[Xx][Aa][Mm][Ll]\x2b
                [Xx][Mm][Ll].*"
!!-- Configure an HTTP application inspection policy that 
!-- identifies, resets, and logs connections that contain 
!-- the regexes that are configured above!
policy-map type inspect http all-match MS_Feb_2013
  class MS13-015_class
    reset log
!!-- Configure an access list that matches TCP packets 
!-- that are destined to the #WEBPORTS variable that is 
!-- used by a Cisco IPS device!
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
!!-- Configure a Layer 4 class that uses the above-configured 
!-- access list to match TCP packets that are destined 
!-- to the ports that are used by the Cisco IPS #WEBPORTS
!-- variable!
class-map match-all L4_http_class
  match access-list WEBPORTS
!!-- Configure a Layer 4 policy that applies the HTTP application 
!-- inspection policy configured above to TCP packets that 
!-- are destined to the ports that are used by the Cisco IPS 
!-- #WEBPORTS variable!
policy-map multi-match L4_MS_Feb_2013
  class L4_http_class
    inspect http policy MS_Feb_2013  
!!-- Apply the configuration globally across all interfaces, 
!-- which results in the inspection of all traffic that enters
!-- the ACE!service-policy input L4_MS_Feb_2013

Identifizierung: Anwendungsprotokollüberprüfung

HTTP Deep Packet Inspection

Die Cisco ACE Application Control Engine-Syslog-Meldung ACE-5-41507 wird generiert, wenn ein HTTP-Nachrichtentext mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie im Cisco ACE 4700 Series Appliance System Message Guide - System Message 41507.

ACE/Admin# show logging | include 415007
Feb 11 2013 15:26:43: %ACE-5-415007: HTTP - matched MS13-015_class in policy-map 
      L4_MS_Feb_2013, Body matched - Resetting connection from vlan206:192.168.60.63/1776 
      to vlan130:192.0.2.94/80 Connection 0x3a

Wenn die HTTP-Deep-Packet-Inspection aktiviert ist, identifiziert der Befehl show service-policy policy policy name detail die Anzahl der HTTP-Verbindungen, die von dieser Funktion überprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy L4_MS_Feb_2013 detail:

ACE/Admin# show service-policy L4_MS_Feb_2013 detail

Status     : ACTIVE
Description: -----------------------------------------
Context Global Policy:
  service-policy: L4_MS_Feb_2013
    class: L4_http_class
      inspect http:
        L7 inspect policy : MS_Feb_2013
        Url Logging: DISABLED
        curr conns       : 0         , hit count        : 1         
        dropped conns    : 0         
        client pkt count : 3         , client byte count: 589                   
        server pkt count : 3         , server byte count: 547                   
        conn-rate-limit      : 0         , drop-count : 0         
        bandwidth-rate-limit : 0         , drop-count : 0         
        L4 policy stats:
          Total Req/Resp: 57          , Total Allowed: 38         
          Total Dropped : 19          , Total Logged : 0         
        L7 Inspect policy : MS_Feb_2013
          class/match : MS13-015_class
            Inspect action :
               reset log
            Total Inspected      : 57         , Total Matched: 19        
            Total Dropped OnError: 0

Im vorherigen Beispiel wurden 57 HTTP-Verbindungen überprüft und 19 HTTP-Verbindungen fallen gelassen.

Weitere Informationen über die HTTP Deep Packet Inspection und die Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.

Cisco Intrusion Prevention System

Eindämmung: Cisco IPS-Signaturereignisaktionen

Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.

CVE-ID	Signaturfreigabe	Signature-ID	Signaturname	Aktiviert	Schweregrad	Genauigkeit*
CVE 2013-0018	S695	1864/0	Microsoft Internet Explorer: Remotecodeausführung	Ja	Hoch	95
CVE 2013-0020	S695	1895/0	Microsoft Internet Explorer: Speicherbeschädigung	Ja	Hoch	85
CVE 2013-0025	S695	1867/0	Microsoft Internet Explorer: Speicherbeschädigung	Ja	Hoch	85
CVE 2013-0028	S695	1857/0	Microsoft Internet Explorer: Schwachstelle bei der Codeausführung	Ja	Hoch	85
CVE 2013-0029	S695	1862/0	Microsoft Internet Explorer: Schwachstelle bei der Codeausführung	Ja	Hoch	85
CVE 2013-0030	S695	1868/0	Microsoft Vector Markup Language - Remotecodeausführung	Ja	Hoch	85
CVE 2013-0024	S695	1937/0	Microsoft Internet Explorer: Speicherbeschädigung	Ja	Hoch	85
CVE 2013-0027	S695	1938/0	Microsoft Internet Explorer: Speicherbeschädigung	Ja	Hoch	85
CVE 2013-0026	S696	1939/0	Microsoft Internet Explorer: Speicherbeschädigung	Ja	Hoch	85
CVE 2013-0019	S696	1940/0	Microsoft Internet Explorer: Remotecodeausführung	Ja	Hoch	85
CVE 2013-0021	S696	1941/0	Microsoft Internet Explorer: Remotecodeausführung	Ja	Hoch	85
CVE 2013-0015	S696	1942/0	Standortübergreifendes Microsoft Internet Explorer-Scripting	Ja	Hoch	85

* Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.

Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.

Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.

Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.

Cisco IPS-Signaturereignisdaten

Die folgenden Daten wurden mithilfe von Remote Monitoring Services zusammengestellt, die vom Cisco Remote Management Services-Team aus einer Beispielgruppe von Cisco IPS-Sensoren bereitgestellt wurden, auf denen Cisco IPS Signature Update Version S695 oder höher ausgeführt wird. Zweck dieser Daten ist es, Einblick in die Versuche zu geben, die Schwachstellen auszunutzen, die im Rahmen des am 12. Februar 2013 veröffentlichten Microsoft February Security Updates veröffentlicht wurden. Diese Daten stammen von Ereignissen, die am 26. Februar 2013 ausgelöst wurden.

CVE-ID	Signature-ID	Prozentsatz der Sensoren, die die Signatur melden	Prozentsatz der Sensoren, die die Signatur unter den zehn meistgesehenen Ereignissen melden
CVE 2013-0018	1864/0	0%	0%
CVE 2013-0020	1895/0	0%	0%
CVE 2013-0025	1867/0	0%	0%
CVE 2013-0028	1857/0	0%	0%
CVE 2013-0029	1862/0	0%	0%
CVE 2013-0030	1868/0	0%	0%
CVE 2013-0024	1937/0	0%	0%
CVE 2013-0027	1938/0	0%	0%
CVE 2013-0026	1939/0	0%	0%
CVE 2013-0019	1940/0	0%	0%
CVE 2013-0021	1941/0	0%	0%
CVE 2013-0015	1942/0	0%	0%

Cisco Security Manager

Identifikation: Cisco Security Manager

Cisco Security Manager, Ereignisanzeige

Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit den in diesem Dokument beschriebenen Sicherheitslücken zusammenhängen.

Mithilfe der vordefinierten Ansicht IPS Alert Events in der Ereignisanzeige kann der Benutzer die Suchzeichenfolge im Ereignisfilter eingeben, um alle erfassten Ereignisse zurückzugeben, die mit den unten aufgeführten Cisco IPS-Signaturen in Zusammenhang stehen:

1864/0
1895/0
1867/0
1857/0
1862/0
1868/0
1937/0
1938/0
1939/0
1940/0
1941/0
1942/0

Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.

Verwenden Sie den Zielereignisfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die den TCP-Port 2049 enthalten.

Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht Firewall Denied Events (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Syslog-Meldungen Deny bereitzustellen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:

ASA-4-415007 (HTTP-Inspektion)
ASA-4-106023 (ACL verweigert)

Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.

Cisco Security Manager Report Manager

Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.

Mithilfe des Berichts-Managers kann der Benutzer einen IPS-Bericht mit den besten Signaturen für die von ihm betroffenen Cisco IPS-Geräte basierend auf Zeitbereich und Signatureigenschaften definieren. Wenn die Signature-ID auf

1864/0
1895/0
1867/0
1857/0
1862/0
1868/0
1937/0
1938/0
1939/0
1940/0
1941/0
1942/0

Cisco Security Manager generiert einen umfassenden Bericht, in dem die Anzahl der für die betreffende Signatur ausgelösten Warnmeldungen im Vergleich zur Gesamtsumme aller in dem Bericht angezeigten Signaturwarnmeldungen aufgelistet wird.

Ebenfalls im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:

Verwenden Sie den Ziel-IP-Netzwerkfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"

Weitere Informationen zu Cisco Security Manager IPS Event Reporting finden Sie im Abschnitt Understanding IPS Top Reports im Cisco Security Manager User Guide.

Identifikation: Event Management System - Partnerveranstaltungen

Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und getesteter SIEM-Systeme, die geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte bewältigen. Partnerprodukte für das Security Information and Event Management können verwendet werden, um Ereignisse von Cisco Geräten zu erfassen und die erfassten Ereignisse dann auf die durch eine Cisco IPS-Signatur oder Verweigern Sie Syslog-Meldungen von Firewalls, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:

1864-0 Microsoft Internet Explorer: Remote-Codeausführung
1895-0 Microsoft Internet Explorer Speicherbeschädigung
1867-0 Microsoft Internet Explorer-Speicherbeschädigung
1857-0 Microsoft Internet Explorer: Schwachstelle bei der Ferncodeausführung
1862-0 Schwachstelle in Microsoft Internet Explorer: Remote-Codeausführung
1868-0 Microsoft Vector Markup Language Remote-Codeausführung
1937/0 Microsoft Internet Explorer Speicherbeschädigung
1938/0 Microsoft Internet Explorer Speicherbeschädigung
1939/0 Microsoft Internet Explorer Speicherbeschädigung
1940/0 Microsoft Internet Explorer - Remote-Codeausführung
1941/0 Microsoft Internet Explorer - Remote-Codeausführung
1942/0 Microsoft Internet Explorer Cross Site Scripting
ASA-4-106023 (ACL verweigert)
ASA-4-415007 (HTTP-Inspektion)

Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).

Zusätzliche Informationen

Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

In diesem Bulletin

Microsoft Windows Multiple win32k.sys Kernel Treiberinformationen Offenlegung Schwachstellen

Microsoft Windows Multiple win32k.sys Kernel-Mode Treiberinformationen Offenlegung Schwachstellen

Microsoft Windows DirectShow-Mediendekomprimierung - Umgang mit Schwachstellen bei der Ausführung beliebigen Codes

Microsoft Windows Client/Server Runtime Subsystem Reference Count Handling Privilege Escalation Vulnerability

Microsoft Windows TCP/IP-Paketverarbeitung - Denial of Service-Schwachstelle

Microsoft Windows NFS Server NULL Dereference Denial of Service-Schwachstelle

Microsoft Internet Explorer Character Encoding Processing Information Disclosure Vulnerability

Microsoft Internet Explorer setCapture Schwachstelle bei Ausführung von beliebigem Code nach der Verwendung

Microsoft Internet Explorer ComWindowProxy-Verwundbarkeit durch Ausführung beliebigen Codes nach dem Freigeben

Schwachstelle bei Ausführung von beliebigem Code in Microsoft Internet Explorer CMarkup mit nachfolgender Verwendung

Schwachstelle in Microsoft Internet Explorer bei Ausführung von beliebigem Code nach dem Freigeben

Schwachstelle in Microsoft Internet Explorer LsGetTrailInfo Use-After-Free Arbitrary Code Execution

Microsoft Internet Explorer CDispNode-Sicherheitslücke bei der Ausführung von beliebigem Code nach dem Freigeben

Microsoft Internet Explorer pasteHTML-Schwachstelle bei Ausführung von beliebigem Code nach dem Freigeben

Microsoft Internet Explorer SLayoutRun-Schwachstelle für die Ausführung von beliebigem Code nach dem Freigeben

Microsoft Internet Explorer InsertElement: Schwachstelle bei Ausführung von beliebigem Code nach dem Freigeben

Schwachstelle bei Ausführung von beliebigem Code in Microsoft Internet Explorer CPasteCommand-use-after-free

Microsoft Internet Explorer CObjectElement - Schwachstelle bei der Ausführung von beliebigem Code nach dem Freigeben

Schwachstelle bei der Ausführung von beliebigem Code in Microsoft Internet Explorer, cHTML, use-after-free

Microsoft Internet Explorer Vector Markup Language Processing Speicherbeschädigung

Eskalationsschwachstelle für Microsoft Windows Kernel-Speicherobjektverarbeitung

Eskalationsschwachstelle bei Microsoft Windows Kernel-Speicherverarbeitung

Microsoft Windows Kernel-Referenzzähler - Umgang mit Schwachstellen bei Rechteausweitung

Microsoft .NET Framework Windows Forms Permissions Handling Arbitrary Code Execution Vulnerability

Microsoft Windows-Objektverknüpfung und Einbettung der Automatisierungsdatei Analyse von beliebigem Code Ausführungsanfälligkeit
Alle anzeigen 25...

Revisionsverlauf

Version	Beschreibung	Datum
6	IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 26. Februar 2013 verfügbar.	27. Februar 2013, 14:38 Uhr GMT
5	IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 19. Februar 2013 verfügbar.	20. Februar 2013, 21:47 Uhr GMT
4	Cisco IPS Signature Event Data hinzugefügt.	15. Februar 2013, 15:22 Uhr GMT
3	Der Tabelle wurden vier Cisco IPS-Signaturen hinzugefügt.	13. Februar 2013, 14:32 Uhr GMT
2	IPv4-Verkehrsflussidentifizierung mit der Cisco IOS NetFlow-Tabelle aktualisiert.	12. Februar 2013, 21:46 Uhr GMT
1	Cisco Applied Mitigation Bulletin: Version von Microsoft Security Bulletin für Februar 2013	12. Februar 2013, 19:20 Uhr GMT

Weniger anzeigen

Cisco Sicherheitsverfahren

Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

Zugehörige Informationen

Betroffene Produkte

Die Sicherheitslücke betrifft die folgenden Produktkombinationen.

Primäre Produkte
Microsoft, Inc.	.NET Framework	2,0 (SP2) \| 3,5 (Basis) \| 3.5.1 (Basis) \| 4,0 (Basis) \| 4,5 (Basis)
	Internet-Explorer	6,0 (Basis, SP1, SP2) \| 7,0 (Basis) \| 8,0 (Basis) \| 9,0 (Basis) \| 10,0 (Basis)
	Windows 7	für 32-Bit-Systeme (Base, SP1) \| für x64-basierte Systeme (Basis, SP1)
	Windows 8	für 32-Bit-Systeme (Basis) \| für x64-basierte Systeme (Basis)
	Windows RT	Ursprüngliche Version (Basis)
	Windows Server 2003	Datacenter Edition (Base, SP1, SP2) \| Datacenter Edition, 64-Bit (Itanium) (Base, SP1, SP2) \| Datacenter Edition x64 (AMD/EM64T) (Basis, SP2) \| Enterprise Edition (Base, SP1, SP2) \| Enterprise Edition, 64-Bit (Itanium) (Base, SP1, SP2) \| Enterprise Edition x64 (AMD/EM64T) (Basis, SP2) \| Standard Edition (Base, SP1, SP2) \| Standard Edition, 64-Bit (Itanium) (Base, SP1, SP2) \| Standard Edition x64 (AMD/EM64T) (Basis, SP2) \| Web Edition (Base, SP1, SP2)
	Windows Server 2008	Datacenter Edition (Base, SP1, SP2) \| Datacenter Edition, 64-Bit (Basis, SP1, SP2) \| Itanium-basierte Systems Edition (Base, SP1, SP2) \| Enterprise Edition (Base, SP1, SP2) \| Enterprise Edition, 64-Bit (Base, SP1, SP2) \| Essential Business Server Standard (SP2) \| Essential Business Server Premium (SP2) \| Essential Business Server Premium, 64-Bit (SP2) \| Standard Edition (Base, SP1, SP2) \| Standard Edition, 64-Bit (Base, SP1, SP2) \| Webserver (Basis, SP1, SP2) \| Webserver, 64-Bit (Basis, SP1, SP2)
	Windows Server 2008 R2	x64-basierte Systems Edition (Base, SP1) \| Itanium-basierte Systems Edition (Base, SP1)
	Windows Server 2012	Ursprüngliche Version (Basis)
	Windows Vista	Home Basic (Basis, SP1, SP2) \| Home Premium (Basis, SP1, SP2) \| Unternehmen (Basis, SP1, SP2) \| Enterprise (Basis, SP1, SP2) \| Ultimate (Basis, SP1, SP2) \| Home Basic x64 Edition (Base, SP1, SP2) \| Home Premium x64 Edition (Basis, SP1, SP2) \| Business x64 Edition (Basis, SP1, SP2) \| Enterprise x64 Edition (Base, SP1, SP2) \| Ultimate x64 Edition (Base, SP1, SP2)

Zugehörige Produkte
Cisco	Cisco Broadband-Problemhilfe	Ursprüngliche Version (Basis) \| 3.1 (Basis) \| 3.2 (Basis)
	Cisco Building Broadband Service Manager (BBSM)	Ursprüngliche Version (Basis) \| 2,5 (.1) \| 3,0 (Basis) \| 4,0 (Basis, 0,1) \| 4.2 (Basis) \| 4,3 (Basis) \| 4,4 (Basis) \| 4,5 (Basis) \| 5,0 (Basis) \| 5.1 (Basis) \| 5.2 (Basis)
	Cisco CNS Network Registrar	2,5 (Basis) \| 3,0 (Basis) \| 3,5 (Basis, 0,1) \| 5,0 (Basis) \| 5,5 (Basis, 0,13) \| 6,0 (.5, .5.2, .5.3, .5.4) \| 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4)
	Cisco Collaboration Server Dynamic Content Adapter (DCA)	Ursprüngliche Version (Basis) \| 1,0 (Basis) \| 2,0 (Basis, (1)_SR2)
	Cisco CTI-Option (Computer Telefony Integration)	4.7 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 \| 5.1 (0)_SR1, (0)_SR2, (0)_SR3 \| 6,0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5 \| 7,0 (0)_SR1, (0)_SR2 \| 7,1 (2), (3), (4), (5)
	Cisco Konferenzverbindung	1.1 (3), (3)spA) \| 1,2 (Basis, (1), (2), (2) SR1, (2) SR2)
	Cisco E-Mail Manager	Ursprüngliche Version (Basis) \| 4,0 (Basis, .5i, .6) \| 5,0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
	Cisco Emergency Responder	1,1 (Basis, (3), (4) \| 1.2 (Basis, (1), (1) SR1, (2) SR1, (3)a, (3)SR1, (3a)SR2) \| 1,3 (Basis, (1a), (2))
	Cisco Intelligent Contact Manager (ICM)	Ursprüngliche Version (Basis) \| 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6 \| 5,0 (0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) \| 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) \| 7.0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 \| 7,1 (2), (3), (4), (5)
	Cisco Unified Contact Center	Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) \| Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2 , 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1, 4.1(1)_SR1, 4.5 (2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1 \| Hosted Edition (Basis, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
	Cisco Unified IP IVR	2,0 (0,2) \| 2.1 (.1a, .2, .3) \| 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) \| 3,0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) \| 3.1 (1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5 \| 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) \| 4,0 (1)_SR1, (4)_SR1 \| 4,1 (1)_SR1 \| 4,5 (2)_SR1, (2)_SR2 \| 5,0 (1)_SR1
	Cisco IP Interoperability and Collaboration System (IPICS)	1,0 (1,1)
	Cisco IP Queue Manager	2.2 (Basis)
	Cisco IP/VC 3540 Anwendungsserver-Modul	3,2 (.0.1, .138) \| 3,5 (.0,8)
	Cisco IP/VC 3540 Rate Matching-Modul	3,0 (0,9)
	Cisco Media Blender	Ursprüngliche Version (Basis) \| 3,0 (Basis) \| 4,0 (Basis) \| 5,0 (Basis, (0)_SR1, (0)_SR2)
	Cisco Networking Services für Active Directory	Ursprüngliche Version (Basis)
	Cisco Outbound-Option	Ursprüngliche Version (Basis)
	Cisco Personal Assistant	1,0 (Basis, 1) \| 1,1 (Basis) \| 1,3 (Basis, .1, .2, .3, .4) \| 1,4 (Basis, 0,2, 0,3, 0,4, 0,5, 0,6)
	Cisco Remote Monitoring Suite-Option	1,0 (Basis) \| 2,0 (Basis, (0)_SR1)
	Cisco Secure Access Control Server (ACS) für Windows	2,6 (Basis) \| 2.6.3.2 (Basis) \| 2.6.4 (Basis) \| 2.6.4.4 (Basis) \| 3,0 (Basis) \| 3.0.1 (Basis) \| 3.0.1.40 (Basis) \| 3.0.2 (Basis) \| 3.0.3 (Basis) \| 3.0.3.6 (Basis) \| 3.0.4 (Basis) \| 3.1.1 (Basis) \| 3.1.1.27 (Basis) \| 3.1.2 (Basis) \| 3.2 (Basis) \| 3.2.1 (Basis) \| 3.2.3 (Basis) \| 3.3.1 (Basis) \| 3.3.2.2 (Basis) \| 3.3.1.16 (Basis) \| 3.3.3.11 (Basis) \| 4,0 (Basis) \| 4.0.1 (Basis) \| 4.0.1.27 (Basis) \| 4.1.1.23 (Basis)
	Cisco Secure Access Control Server Solution Engine (ACSE)	3.1 (Basis, .1) \| 3.2 (Basis, .1.20, .2.5, .3) \| 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) \| 4,0 (Basis, .1, .1.42, .1.44, .1.49) \| 4.1 (Basis, .1.23, .1.23.3, .3, .3.12)
	Cisco Secure User Registration Tool (URT)	Ursprüngliche Version (Basis) \| 1,2 (Basis, 0,1) \| 2,0 (Basis, 0,7, 0,8) \| 2,5 (Basis, .1, .2, .3, .4, .5)
	Cisco SN 5420 Storage-Router	1,1 (Basis, 0,3, 0,4, 0,5, 0,7, 0,8) \| 2.1 (.1, .2)
	Cisco SN 5428-2 Storage-Router	3,2 (.1, .2) \| 3,3 (.1, .2) \| 3,4 (.1) \| 3,5 (Basis, .1, .2, .3, .4)
	Cisco TrailHead	Ursprüngliche Version (Basis) \| 4,0 (Basis)
	Cisco Unified Communications Manager	Ursprüngliche Version (Basis) \| 1,0 (Basis) \| 2,0 (Basis) \| 3,0 (Basis) \| 3.0.3(a) (Basis) \| 3.1 (Basis, .1, .2, .3a) \| 3.1(1) (Basis) \| 3.1(2) (Basis) \| 3.1(2)SR3 (Basis) \| 3.1(3) (Basis) \| 3.1(3)SR2 (Basis) \| 3.1(3)SR4 (Basis) \| 3.2 (Basis) \| 3.2(3)SR3 (Basis) \| 3,3 (Basis) \| 3.3(2)SPc (Basis) \| 3.3(3) (Basis) \| 3.3(3)ES61 (Basis) \| 3.3(3)SR3 (Basis) \| 3.3(3)SR4a (Basis) \| 3.3(3a) (Basis) \| 3.3(4) (Basis) \| 3.3(4)ES25 (Basis) \| 3.3(4)SR2 (Basis) \| 3.3(4c) (Basis) \| 3.3(5) (Basis) \| 3.3(5)ES24 (Basis) \| 3.3(5)SR1 (Basis) \| 3.3(5)SR1a (Basis) \| 3.3(5)SR2 (Basis) \| 3.3(5)SR2a (Basis) \| 3.3(5)SR3 (Basis) \| 3.3(59) (Basis) \| 3.3(61) (Basis) \| 3.3(63) (Basis) \| 3.3(64) (Basis) \| 3.3(65) (Basis) \| 3.3(66) (Basis) \| 3.3(67,5) (Basis) \| 3.3(68.1) (Basis) \| 3.3(71,0) (Basis) \| 3.3(74,0) (Basis) \| 3.3(78) (Basis) \| 3.3(76) (Basis) \| 4,0 (.1, .2) \| 4.0(2a)ES40 (Basis) \| 4.0(2a)ES56 (Basis) \| 4.0(2a)SR2b (Basis) \| 4.0(2a)SR2c (Basis) \| 4.1 (Basis) \| 4.1(2) (Basis) \| 4.1(2)ES33 (Basis) \| 4.1(2)ES50 (Basis) \| 4.1(2)SR1 (Basis) \| 4.1(3) (Basis) \| 4.1(3)ES (Basis) \| 4.1(3)ES07 (Basis) \| 4.1(3)ES24 (Basis) \| 4.1(3)SR (Basis) \| 4.1(3)SR1 (Basis) \| 4.1(3)SR2 (Basis) \| 4.1(3)SR3 (Basis) \| 4.1(3)SR3b (Basis) \| 4.1(3)SR3c (Basis) \| 4.1(3)SR4 (Basis) \| 4.1(3)SR4b (Basis) \| 4.1(3)SR4d (Basis) \| 4.1(3)SR5 (Basis) \| 4.1(4) (Basis) \| 4.1(9) (Basis) \| 4.1(17) (Basis) \| 4.1(19) (Basis) \| 4.1(22) (Basis) \| 4.1(23) (Basis) \| 4.1(25) (Basis) \| 4.1(26) (Basis) \| 4.1(27.7) (Basis) \| 4.1(28.2) (Basis) \| 4.1(30.4) (Basis) \| 4.1(36) (Basis) \| 4.1(39) (Basis) \| 4.2(1) (Basis) \| 4.2(1)SR1b (Basis) \| 4.2(1.02) (Basis) \| 4.2(1.05.3) (Basis) \| 4.2(1.06) (Basis) \| 4.2(1.07) (Basis) \| 4.2(3) (Basis) \| 4.2(3)SR1 (Basis) \| 4.2(3)SR2 (Basis) \| 4.2(3.08) (Basis) \| 4.2(3.2.3) (Basis) \| 4.2(3.3) (Basis) \| 4.2(3.13) (Basis) \| 4.3(1) (Basis) \| 4.3(1)SR (Basis) \| 4,3(1,57) (Basis)
	Cisco Unified Customer Voice Portal (CVP)	3,0 (0), (0)SR1, (0)SR2) \| 3.1 (0), (0)SR1, (0)SR2) \| 4,0 (0), (1), (1)SR1, (2)
	Cisco Unified MeetingPlace	4.3 (Basis) \| 5.3 (Basis) \| 5.2 (Basis) \| 5,4 (Basis) \| 6,0 (Basis)
	Cisco Unified MeetingPlace Express	1.1 (Basis) \| 1,2 (Basis) \| 2,0 (Basis)
	Cisco Unity	Ursprüngliche Version (Basis) \| 2,0 (Basis) \| 2.1 (Basis) \| 2.2 (Basis) \| 2,3 (Basis) \| 2,4 (Basis) \| 2,46 (Basis) \| 3,0 (Basis, 0,1) \| 3.1 (Basis, .2, .3, .5, .6) \| 3.2 (Basis) \| 3,3 (Basis) \| 4,0 (Basis, .1, .2, .3, .3b, .4, .5) \| 4.1 (Basis, .1) \| 4.2 (Basis, .1, .1 ES27) \| 5,0 (1) \| 7,0 (2)
	Cisco Unity Express	1.0.2 (Basis) \| 1.1.1 (Basis) \| 1.1.2 (Basis) \| 2.0.1 (Basis) \| 2.0.2 (Basis) \| 2.1.1 (Basis) \| 2.1.2 (Basis) \| 2.1.3 (Basis) \| 2.2.0 (Basis) \| 2.2.1 (Basis) \| 2.2.2 (Basis) \| 2.3.0 (Basis) \| 2.3.1 (Basis)
	Cisco Wireless Control System (WCS)-Software	1,0 (Basis) \| 2,0 (Basis, 44,14, 44,24) \| 2,2 (.0, .111.0) \| 3,0 (Basis, .101.0, .105.0) \| 3.1 (Basis, .20.0, .33.0, .35.0) \| 3.2 (Basis, .23.0, .25.0, .40.0, .51.0, .64.0) \| 4,0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) \| 4.1 (Basis, .83.0)
	CiscoWorks IP Telefony Environment Monitor (ITEM)	1,3 (Basis) \| 1,4 (Basis) \| 2,0 (Basis)
	CiscoWorks LAN Management-Lösung (LMS)	1,3 (Basis) \| 2.2 (Basis) \| 2,5 (Basis) \| 2,6 (Basis)
	CiscoWorks QoS Policy Manager (QPM)	2,0 (Basis, .1, .2, .3) \| 2,1 (.2) \| 3,0 (Basis, 0,1) \| 3.1 (Basis) \| 3.2 (Basis, .1, .2, .3)
	CiscoWorks Routed WAN Management Solution (RWAN)	1,0 (Basis) \| 1,1 (Basis) \| 1,2 (Basis) \| 1,3 (Basis, 0,1)
	CiscoWorks Small Network Management-Lösung (SNMS)	1,0 (Basis) \| 1,5 (Basis)
	CiscoWorks VPN/Security Management Solution (VMS)	1,0 (Basis) \| 2,0 (Basis) \| 2.1 (Basis) \| 2.2 (Basis) \| 2,3 (Basis)
	Cisco Collaboration-Server	3,0 (Basis) \| 3,01 (Basis) \| 3,02 (Basis) \| 4,0 (Basis) \| 5,0 (Basis)
	Cisco DOCSIS CPE-Konfigurator	1,0 (Basis) \| 1,1 (Basis) \| 2,0 (Basis)
	Cisco Unified IP Interactive Voice Response (IVR)	2,0 (Basis) \| 2.1 (Basis)
	Cisco Service Control Engine (SCE)	3,0 (Basis) \| 3.1 (Basis)
	Cisco Transport Manager	Ursprüngliche Version (Basis) \| 2,0 (Basis) \| 2.1 (Basis) \| 2.2 (Basis, .1) \| 3,0 (Basis, .1, .2) \| 3.1 (Basis) \| 3.2 (Basis) \| 4,0 (Basis) \| 4.1 (Basis, .4, .6, .6.6.1) \| 4,6 (Basis) \| 4,7 (Basis) \| 5,0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) \| 6,0 (Basis, 0,405,1, 0,407,1, 0,412,1) \| 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) \| 7.2 (Basis, 0.0.199.1)
Microsoft, Inc.	Internet-Explorer	7.0 \| 8,0
	Windows 7	für 32-Bit-Systeme \| für x64-basierte Systeme
	Windows 8	für 32-Bit-Systeme \| für x64-basierte Systeme
	Windows RT	Ursprüngliche Version
	Windows Server 2003	Datacenter Edition \| Datacenter Edition, 64-Bit (Itanium) \| Datacenter Edition x64 (AMD/EM64T) \| Enterprise Edition \| Enterprise Edition, 64-Bit (Itanium) \| Enterprise Edition x64 (AMD/EM64T) \| Standard Edition \| Standard Edition, 64-Bit (Itanium) \| Standard Edition x64 (AMD/EM64T) \| Web-Edition
	Windows Server 2008	Datacenter Edition \| Datacenter Edition, 64-Bit \| Itanium-basierte Systems Edition \| Enterprise Edition \| Enterprise Edition, 64-Bit \| Essential Business Server Standard \| Essential Business Server Premium \| Essential Business Server Premium, 64-Bit \| Standard Edition \| Standard Edition, 64-Bit \| Webserver \| Webserver, 64-Bit
	Windows Server 2008 R2	x64-basierte Systems Edition \| Itanium-basierte Systems Edition
	Windows Server 2012	Ursprüngliche Version
	Windows Vista	Home Basic \| Home Premium \| Unternehmen \| Unternehmen \| Ultimativ \| Home Basic x64 Edition \| Home Premium x64 Edition \| Business x64-Edition \| Enterprise x64 Edition \| Ultimative x64-Edition

Haftungsausschluss

Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.

Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.