업데이트:2016년 8월 6일 (토)

문서 ID:1470490031623241

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

Cisco Applied Mitigation 게시판

Cisco Applied Mitigation Bulletin: 2013년 9월 Microsoft 보안 공지 릴리스

문서 ID:

30519

최초 게시일:

2013년 9월 10일 17:21(GMT)

최종 업데이트:

2013년 9월 25일 17:35(GMT)

버전:

CVE-2013-0081

CVE-2013-0810

CVE-2013-1315

기타...

IntelliShield

CVE-2013-0081

CVE-2013-0810

CVE-2013-1315

기타...

IntelliShield

Cisco의 대응

Microsoft는 2013년 9월 10일 월간 보안 게시판 릴리스의 일부로 47개의 취약점을 해결하는 13개의 보안 게시판을 발표했습니다. 이러한 게시판의 요약은 Microsoft 웹 사이트(http://technet.microsoft.com/en-us/security/bulletin/ms13-sep)에 있습니다. 이 문서에서는 관리자가 Cisco 네트워크 장치에 배포할 수 있는 식별 및 완화 기술을 제공합니다.

클라이언트 소프트웨어 공격 벡터가 있고, 취약한 디바이스에서 로컬로 악용될 수 있으며, 사용자 상호 작용이 필요하며, 웹 기반 공격(교차 사이트 스크립팅, 피싱 및 웹 기반 이메일 위협을 포함하되 이에 제한되지 않음) 또는 이메일 첨부 파일이나 네트워크 공유에 저장된 파일이 다음 목록에 있습니다.
- MS13-067
- MS13-068
- 13-069
- 13-070
- MS13-072
- MS13-073
- 13-074
- MS13-075
- MS13-076
- MS13-07
- MS13-078
네트워크 차단 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 네트워크 공격 벡터가 있는 취약성에 대한 여러 가지 대응 방법을 제공하며, 이에 대해서는 이 문서의 뒷부분에서 자세히 설명합니다.
- MS13-071
- 13-079
영향을 받는 제품과 영향을 받지 않는 제품에 대한 정보는 2013년 9월 Cisco Event Response: Microsoft Security Bulletin Release for Cisco Event Response: Microsoft Security Bulletin Release에서 참조되는 해당 Microsoft 자문 및 Cisco 알림을 통해 확인할 수 있습니다.

또한 여러 Cisco 제품이 Microsoft 운영 체제를 기본 운영 체제로 사용하고 있습니다. 참조된 Microsoft 권고에 설명된 취약성의 영향을 받을 수 있는 Cisco 제품은 "제품 세트" 섹션의 "관련 제품" 테이블에 자세히 설명되어 있습니다.

취약성 특성

MS13-067, Microsoft SharePoint Server의 취약성으로 2834052(Remote Code Execution)이 가능할 수 있음: 이러한 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자가 할당되었습니다.
- CVE-2013-0081
- CVE-2013-1315
- CVE-2013-1330
- CVE-2013-3179
- CVE-2013-3180
- CVE-2013-3847
- CVE-2013-3848
- CVE-2013-3849
- CVE-2013-3857
- CVE-2013-3858
이러한 취약점은 인증 및 사용자 상호 작용 유무와 관계없이 로컬에서 또는 원격으로 악용될 수 있습니다.

CVE-2013-1315, CVE-2013-3847, CVE-2013-3848, CVE-2013-3849, CVE-2013-3857 및 CVE-2013-3858과 관련된 취약성을 성공적으로 악용하면 원격 코드 실행이 가능할 수 있습니다. 이러한 취약성을 악용하기 위한 공격 벡터는 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326도 사용할 수 있는 HTTP 패킷을 통해 이루어집니다.

CVE-2013-3179 및 CVE-2013-3180과 관련된 취약성을 성공적으로 악용하면 권한 상승이 가능할 수 있습니다. 사이트 간 스크립팅 및 피싱도 이 취약성을 악용하는 데 사용될 수 있습니다. 사이트 간 스크립팅 취약성의 특성상 이 취약성에 대한 추가 정보는 이 게시판에 표시되지 않습니다. 교차 사이트 스크립팅 공격 및 이러한 취약점을 공격하는 데 사용되는 방법에 대한 자세한 내용은 Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vector를 참조하십시오.

CVE-2013-0081과 관련된 취약성을 성공적으로 악용할 경우 DoS(서비스 거부) 상태가 될 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 이러한 취약성을 악용하기 위한 공격 벡터는 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326도 사용할 수 있는 HTTP 패킷을 통해 이루어집니다.

MS13-071, Windows 테마 파일의 취약성으로 2864063(Remote Code Execution) 가능 : 이 취약성에는 CVE 식별자 CVE-2013-0810이 할당되었습니다. 이 취약성은 인증 없이 사용자 상호 작용으로 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 원격 코드를 실행할 수 있습니다. 이러한 취약성을 악용하기 위한 공격 벡터는 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326도 사용할 수 있는 HTTP 패킷을 통해 이루어집니다.

MS13-079, Active Directory의 취약성으로 인해 서비스 거부(2853587)가 발생할 수 있음: 이 취약성에는 CVE 식별자 CVE-2013-3868이 할당되었습니다. 이 취약성은 인증 없이, 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS 상태가 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 공격 벡터는 TCP 포트 389, 636, 3268, 3269 또는 UDP 포트 389를 사용하는 LDAP(Lightweight Directory Access Protocol) 패킷을 통해 이루어집니다. 공격자는 스푸핑된 패킷을 사용하여 이 취약성을 악용할 수 있습니다.

취약성 개요

취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 2013년 9월 Microsoft 보안 게시판 요약에서 확인할 수 있습니다. 이 요약은 다음 링크에서 확인할 수 있습니다. http://www.microsoft.com/technet/security/bulletin/ms13-sept.mspx

완화 기법 개요

클라이언트 소프트웨어 공격 벡터가 있고, 취약한 디바이스에서 로컬로 악용될 수 있으며, 사용자 상호 작용이 필요하며, 웹 기반 공격(교차 사이트 스크립팅, 피싱 및 웹 기반 이메일 위협을 포함하되 이에 제한되지 않음) 또는 이메일 첨부 파일이나 네트워크 공유에 저장된 파일이 다음 목록에 있습니다.
- MS13-067
- MS13-068
- 13-069
- 13-070
- MS13-072
- MS13-073
- 13-074
- MS13-075
- MS13-076
- MS13-07
- MS13-078
이러한 취약점은 소프트웨어 업데이트, 사용자 교육, 데스크톱 관리 모범 사례, HIPS(Host Intrusion Prevention Systems) 또는 안티바이러스 제품과 같은 엔드포인트 보호 소프트웨어를 통해 엔드포인트에서 가장 성공적으로 완화됩니다.

네트워크 차단 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
- MS13-071
- 13-079
Cisco IOS Software는 다음 방법을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
- 트랜짓 액세스 제어 목록(tACL)
- uRPF(유니캐스트 역방향 경로 전달)
- IP 소스 가드(IPSG)
이러한 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.

uRPF의 적절한 구축 및 컨피그레이션은 스푸핑된 소스 IP 주소가 있는 패킷을 사용하는 공격에 대한 효과적인 보호 수단을 제공합니다. 유니캐스트 RPF는 가능한 한 모든 트래픽 소스에 가깝게 구축해야 합니다.

IPSG의 적절한 구축 및 컨피그레이션은 액세스 레이어에서 스푸핑된 패킷에 대한 효과적인 보호 수단을 제공합니다.

Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 FWSM(Firewall Services Module)에서도 다음과 같은 방법으로 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
- tACL
- 애플리케이션 레이어 프로토콜 검사
- uRPF
이러한 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.

Cisco ACE Application Control Engine Appliance 및 Module에서는 애플리케이션 프로토콜 검사를 사용하여 효과적인 익스플로잇 방지를 제공할 수도 있습니다.

Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.

Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM 방화벽, Cisco ACE Application Control Engine Appliance 및 Module은 show 명령 출력에 표시된 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.

Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이 문서의 뒷부분에서 설명한 것처럼 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공합니다.

또한 Cisco Security Manager는 인시던트, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수 있습니다.

위험 관리

조직은 이러한 취약성의 잠재적 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.

완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

Cisco IOS 라우터 및 스위치
Cisco IOS NetFlow
Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
Cisco ACE
Cisco 침입 방지 시스템
Cisco 보안 관리자

Cisco IOS 라우터 및 스위치

완화: 통과 액세스 제어 목록

MS13-079가 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control lists)을 배포하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 389, 636, 3268, 3269 및 UDP 포트 389에서 무단 LDAP IPv4 및 IPv6 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

tACL에 대한 추가 정보는 Transit Access Control List: Filtering at Your Edge에서 확인할 수 있습니다.

!-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 !
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3269
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks against MS13-079 !
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 389
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 636
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3268
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3269
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 389
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!
access-list 150 deny ip any any
!
!-- Create the corresponding IPv6 tACL !
ipv6  access-list IPv6-Transit-ACL-Policy
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! !
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3269
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389

! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses for MS13-079 !
deny tcp any 2001:DB8:1:60::/64 eq 389
deny tcp any 2001:DB8:1:60::/64 eq 636
deny tcp any 2001:DB8:1:60::/64 eq 3268
deny tcp any 2001:DB8:1:60::/64 eq 3269
deny udp any 2001:DB8:1:60::/64 eq 389

! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
permit icmp any any nd-ns
permit icmp any any nd-na
 ! !-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any
 !
! !-- Apply tACLs to interfaces in the ingress direction !
interface GigabitEthernet0/0
ip access-group 150 in
ipv6 traffic-filter IPv6-Transit-ACL-Policy in

인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 인터페이스 컨피그레이션 명령 no ip unreachable 및 no ipv6 unreachable을 사용하여 비활성화할 수 있습니다. ICMP 연결 불가능 속도 제한은 ip icmp rate-limit unreachable interval-in-ms 및 ipv 6 icmp error-interval interval-in-ms 전역 컨피그레이션 명령을 사용하여 기본값에서 변경할 수 있습니다.

식별: 통과 액세스 제어 목록

관리자가 인터페이스에 tACL을 적용한 후 show ip access-lists 및 show ipv6 access-list 명령은 필터링된 TCP 포트 389, 636, 3268, 3269 및 UDP 포트 389의 LDAP IPv4 및 IPv6 패킷 수를 식별합니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show ip access-lists 150 및 show ipv6 access-list IPv6-Transit-ACL-Policy의 출력 예:

router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636
    30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268
    40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3269
    50 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 389 (13 matches)
    70 deny tcp any 192.168.60.0 0.0.0.255 eq 636 (29 matches)
    80 deny tcp any 192.168.60.0 0.0.0.255 eq 3268 (16 matches)
    90 deny tcp any 192.168.60.0 0.0.0.255 eq 3269 (6 matches)
    100 deny udp any 192.168.60.0 0.0.0.255 eq 389 (30 matches)
    110 deny ip any any
router#

앞의 예에서 액세스 목록 150은 신뢰할 수 없는 호스트 또는 네트워크로부터 수신한 다음 패킷을 삭제했습니다.

ACE 라인 60에 대한 TCP 포트 389의 13개 LDAP 패킷
ACE 라인 70에 대한 TCP 포트 636의 29개 LDAP 패킷
ACE 라인 80에 대한 TCP 포트 3268의 16개 LDAP 패킷
ACE 라인 90에 대한 TCP 포트 3269의 6개 LDAP 패킷
ACE 라인 100에 대한 UDP 포트 389의 30개 LDAP 패킷

router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 (38 matches) sequence 10
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636 (31 matches) sequence 20
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268 (13 matches) sequence 30
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3269 (76 matches) sequence 40
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 (43 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 389 (32 matches) sequence 60
    deny tcp any 2001:DB8:1:60::/64 eq 636 (33 matches) sequence 70
    deny tcp any 2001:DB8:1:60::/64 eq 3268 (34 matches) sequence 80
    deny tcp any 2001:DB8:1:60::/64 eq 3269 (35 matches) sequence 90
    deny udp any 2001:DB8:1:60::/64 eq 389 (43 matches) sequence 100
    permit icmp any any nd-ns (41 matches) sequence 110
    permit icmp any any nd-na (41 matches) sequence 120
    deny ipv6 any any (21 matches) sequence 130

앞의 예에서 액세스 목록 IPv 6-Transit-ACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

ACE 라인 60에 대한 LDAP 포트 389의 32개 TCP 패킷
ACE 라인 70에 대한 LDAP 포트 636의 33개 TCP 패킷
ACE 라인 80에 대한 LDAP 포트 3268의 34개 TCP 패킷
ACE 라인 90에 대한 LDAP 포트 3269의 35개 TCP 패킷
ACE 라인 100에 대한 LDAP 포트 389의 43개 UDP 패킷

ACE 카운터 및 syslog 이벤트를 사용하여 인시던트를 조사하는 방법에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.

관리자는 ACE 카운터 적중과 같은 특정 조건이 충족될 때 Embedded Event Manager를 사용하여 계측을 제공할 수 있습니다. Cisco Security Intelligence Operations 백서 Embedded Event Manager in a Security Context에서는 이 기능을 사용하는 방법에 대한 추가 세부 정보를 제공합니다.

ID: 액세스 목록 로깅

log and log-input ACL(access control list) 옵션을 사용하면 특정 ACE와 일치하는 패킷이 로깅됩니다. log-input 옵션은 패킷 소스 및 목적지 IP 주소와 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.

주의: 액세스 제어 목록 로깅은 CPU를 많이 사용할 수 있으므로 각별한 주의를 기울여 사용해야 합니다. ACL 로깅의 CPU 영향을 제어하는 요소는 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.

Cisco IOS Software의 경우 ip access-list logging interval in-ms 명령은 IPv4 ACL 로깅에 의해 유발되는 프로세스 전환의 효과를 제한할 수 있습니다. logging rate-limit rate-per-second [ except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.

ACL 로깅의 CPU 영향은 Supervisor Engine 720 또는 Supervisor Engine 32를 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터의 하드웨어에서 최적화된 ACL 로깅을 사용하여 해결할 수 있습니다.

ACL 로깅의 컨피그레이션 및 사용에 대한 자세한 내용은 액세스 제어 목록 로깅 이해 Cisco Security Intelligence Operations 백서를 참조하십시오.

완화: 스푸핑 보호

유니캐스트 역방향 경로 전달

네트워크 공격 벡터가 있는 이 문서에 설명된 일부 취약성은 스푸핑된 IP 패킷으로 악용될 수 있습니다. uRPF(Unicast Reverse Path Forwarding)의 올바른 구축 및 컨피그레이션은 다음 취약성과 관련된 스푸핑을 위한 보호 메커니즘을 제공할 수 있습니다.

13-079

uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 uRPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 사용자 지원 레이어 3 인터페이스의 인터넷 에지 및 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.

uRPF 구성 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations 백서를 참조하십시오.

IP Source Guard

IPSG(IP source guard)는 DHCP 스누핑 바인딩 데이터베이스 및 수동으로 구성된 IP 소스 바인딩을 기반으로 패킷을 필터링하여 라우팅되지 않은 레이어 2 인터페이스의 IP 트래픽을 제한하는 보안 기능입니다. 관리자는 IPSG를 사용하여 소스 IP 주소 및/또는 MAC 주소를 위조하여 패킷을 스푸핑하려고 시도하는 공격자의 공격을 방지할 수 있습니다. 엄격한 모드 uRPF와 결합된 IPSG의 적절한 구축 및 컨피그레이션은 다음 취약성을 완화하는 데 도움이 되는 가장 효과적인 스푸핑 보호 방법을 제공할 수 있습니다.

13-079

IPSG의 구축 및 컨피그레이션에 대한 자세한 내용은 DHCP 기능 및 IP Source Guard 구성에서 확인할 수 있습니다.

식별: 유니캐스트 역방향 경로 전달을 사용하는 스푸핑 보호

네트워크 인프라 전반에 걸쳐 uRPF가 올바르게 구축 및 구성된 경우 관리자는 show cef interface type slot/port internal, show ip interface, show cef drop, show ip cef switching statistics feature 및 show ip traffic 명령을 사용하여 uRPF가 삭제한 패킷 수를 식별할 수 있습니다 .

참고: Cisco IOS Software Release 12.4(20)T부터 show ip cef switching 명령이 show ip cef switching statistics 기능으로 대체되었습니다.

참고: show 명령 은 | regex 시작 및 show 명령 | include regex 명령 수정자는 다음 예에서 사용되므로 원하는 정보를 보기 위해 관리자가 구문 분석해야 하는 출력의 양을 최소화합니다. 명령 수정자에 대한 자세한 내용은 Cisco IOS Configuration Fundamentals 명령 참조의 show 명령 섹션에 있습니다.

router#show cef interface GigabitEthernet 0/0 internal | include drop
  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
  IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0
router#

참고: show cef interface type slot/port internal은 CLI에서 완전히 입력해야 하는 숨겨진 명령입니다. 명령 완료를 사용할 수 없습니다.

router#show cef drop
CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP            27           0           0          18           0           0
router#

router#show ip interface GigabitEthernet 0/0 | begin verify

  IP verify source reachable-via RX, allow default, allow self-ping
  18 verification drops
  0 suppressed verification drops
router#
router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify

  IPv6 verify source reachable-via rx 
  0 verification drop(s) (process), 10 (CEF)
  0 suppressed verification drop(s) (process), 0 (CEF)
  --      CLI Output Truncated       --  
router#

router#show ip cef switching statistics feature

IPv4 CEF input features:
Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
RP PAS uRPF                     18          0          0          0          0
Total                           18          0          0          0          0
    --      CLI Output Truncated       --  
router#
router#show ipv6 cef switching statistics feature

IPv6 CEF input features:
Feature                       Drop   Consume   Punt   Punt2Host   Gave route
RP LES Verify Unicast R         10         0      0           0            0
Total                           10         0      0           0            0
    --      CLI Output Truncated       --  
router#

router#show ip traffic | include RPF
         18 no route, 18 unicast RPF, 0 forced drop
router#
router#show ipv6 traffic | include RPF
         10 RPF drops, 0 RPF suppressed, 0 forced drop
router#

앞의 show cef interface type slot/port internal, show cef drop, show ip interface type slot/port and show ipv6 interface type slot/port, show ip cef switching statistics feature and show ipv6 cef switching statistics feature, show ip traffic and show ipv6 traffic example에서 uRPF는 Cisco Express Forwarding의 포워딩 정보 베이스 내에서 IP 패킷의 소스 주소를 확인할 수 없어 uRPF가 구성된 모든 인터페이스에서 전역으로 수신된 다음 패킷을 삭제했습니다.

IPv4 패킷 18개
IPv6 패킷 10개

Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow

식별: Cisco IOS NetFlow를 사용한 IPv4 트래픽 흐름 식별

MS13-079의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 문서에 설명된 네트워크 공격 벡터를 가진 취약성을 악용하려는 시도일 수 있는 IPv4 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.211  Gi0/1         192.168.60.119  06 0984 0185     1
Gi0/0         192.168.60.154  Gi0/1         192.168.60.151  11 0911 0185     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         192.168.13.197  Gi0/1         192.168.60.218  06 0B3E 027C     5
Gi0/0         192.168.10.117  Gi0/1         192.168.60.127  06 0B89 0CC4     1
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         192.168.12.134  Gi0/1         192.168.60.39   06 0BD7 01BD     1

Gi0/0         192.168.12.125  Gi0/1         192.168.60.133  06 0BD7 0CC5     1
Gi0/0         192.168.12.195  Gi0/1         192.168.60.121  06 0BD7 008B     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

앞의 예에서는 TCP 포트 389(16진수 값 0185), 636(16진수 값 027C), 3268(16진수 값 0CC4), 3269(16진수 값 0CC5), UDP 포트 389(16진수 값 0185)의 LDAP에 대한 여러 흐름이 있습니다 자.

이 트래픽은 인프라 디바이스에 사용되는 192.168.60.0/24 주소 블록 내의 주소에서 소싱되어 해당 주소로 전송됩니다. 이러한 흐름의 패킷은 스푸핑될 수 있으며, 이러한 취약성을 악용하려는 시도를 나타낼 수 있습니다. 관리자는 이러한 플로우를 UDP 포트 389에서 전송된 LDAP 트래픽의 기준 사용률과 비교하고, 이러한 플로우가 신뢰할 수 없는 호스트 또는 네트워크에서 소싱되는지 확인하기 위해 조사해야 합니다.

다음 예에 표시된 것처럼 TCP 포트 389(16진수 값 0185), 636(16진수 값 027C), 3268(16진수 값 0CC4) 및 3269(16진수 값 0CC5)에서 LDAP 패킷에 대한 트래픽 흐름만 보려면 show ip cache flow를 사용합니다 | 관련 Cisco NetFlow 레코드를 표시하려면 SrcIf |_PrHex_.*(0185|027C|0CC4|0CC5)_ 명령을 포함합니다.

TCP 흐름

router#show ip cache flow | include SrcIf|_06_.*(0185|027C|0CC4|0CC5)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 06 092A 0185 6 Gi0/0 192.168.13.17 Gi0/1 192.168.60.110 06 0814 0CC4 11 Gi0/0 192.168.12.211 Gi0/1 192.168.60.169 06 013A 0185 9 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 06 0B66 027C 18 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 06 047B 0CC5 2 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 06 0914 0CC4 1

다음 예에 표시된 것처럼 UDP 포트 389의 LDAP 패킷에 대한 트래픽 흐름만 보려면(16진수 값 0185) show ip cache flow를 사용합니다 | SrcIf|_PrHex_.*0185 명령을 포함하여 관련 Cisco NetFlow 레코드를 표시합니다.

UDP 플로우

router#show ip cache flow | include SrcIf|_11_.*0185 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.60.110 Gi0/1 192.168.60.163 11 092A 0185 6 Gi0/0 192.168.60.230 Gi0/1 192.168.60.20 11 0C09 0185 1

식별: Cisco IOS NetFlow를 사용한 IPv6 트래픽 흐름 식별
MS13-079의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 문서에 설명된 취약성을 악용하려는 것일 수 있는 IPv6 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이러한 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

다음은 Cisco IOS Software 12.4 메인라인 트레인을 실행하는 Cisco IOS 디바이스의 출력입니다. 명령 구문은 Cisco IOS 소프트웨어 트레인마다 다릅니다.

router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x16C4 0x0185 1464 2001:DB...06::201 Gi0/0 2001:DB...28::21 Local 0x06 0x1655 0x0185 1012
2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x027C 2597 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x0CC4 1231 2001:DB...06::201 Gi0/0 2001:DB...128::5 Gi0/1 0x06 0x1634 0x0CC5 1009 2001:DB...06::201 Gi0/0 2001:DB...128::6 Gi0/1 0x06 0x1634 0x008B 1299 2001:DB...06::201 Gi0/0 2001:DB...128::7 Gi0/1 0x06 0x1634 0x01BD 1303 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155 2001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1092 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 1193

전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.

앞의 예에서는 TCP 포트 389(16진수 값 0185), 636(16진수 값 027C), 3268(16진수 값 0CC4), 3269(16진수 값 0CC5), UDP 포트 389(16진수 값 0185)의 LDAP에 대한 여러 IPv6 플로우가 있습니다.

다음 예에 표시된 것처럼 TCP 포트 389(16진수 값 0185), 636(16진수 값 027C), 3268(16진수 값 0CC4) 및 3269(16진수 값 0CC5)에서 LDAP 패킷만 보려면 show ipv6 flow cache를 사용합니다 | 관련 Cisco NetFlow 레코드를 표시하려면 SrcIf|_PrHex_.*(0185|027C|0CC4|0CC5)_ 명령을 포함합니다.

TCP 흐름

router#show ipv6 flow cache | include SrcIf|_06_.*(0185|027C|0CC4|0CC5)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x149D 0x01BD 1093 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::5 Gi0/1 0x06 0x134D 0x027C 1994
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::6 Gi0/1 0x06 0x192B 0x0CC4 1893
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::7 Gi0/1 0x06 0x151A 0x0CC5 1591 router#

다음 예에 표시된 것처럼 UDP 포트 389의 LDAP 패킷만 보려면(16진수 값 0185) show ipv6 flow cache를 사용합니다 | SrcIf|_PrHex_.*0185 명령을 포함하여 관련 Cisco NetFlow 레코드를 표시합니다.

UDP 플로우

router#show ip cache flow | include SrcIf|_11_.*(0185)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x1134 0x0185 1221 router#

식별: Cisco IOS Flexible NetFlow를 사용한 IPv4 트래픽 흐름 식별
Cisco IOS Software 릴리스 12.2(31)SB2 및 12.4(9)T에 도입된 Cisco IOS Flexible NetFlow는 관리자의 특정 요구 사항에 맞게 트래픽 분석 매개변수를 맞춤화하는 기능을 추가하여 원래의 Cisco NetFlow를 개선합니다. 원래의 Cisco NetFlow는 IP 정보의 고정된 7튜플을 사용하여 플로우를 식별하는 반면, Cisco IOS Flexible NetFlow는 플로우를 사용자 정의할 수 있게 해줍니다. 재사용 가능한 구성 구성 요소를 사용하여 트래픽 분석 및 데이터 내보내기를 위한 더 복잡한 구성을 쉽게 생성할 수 있습니다.

MS13-079의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS Flexible NetFlow를 구성하여 이 문서에 설명된 네트워크 공격 벡터를 가진 취약성을 악용하려는 시도일 수 있는 IPv4 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv4 source address key(ipv4 소스 주소 키) 필드 명령문에 정의된 대로 소스 IPv4 주소를 기반으로 수신 IPv4 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv4 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.

! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input

Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다.

router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot ============== ============== ============= ============= ========== =========== ==== ======= 192.168.10.201 192.168.60.102 1456 139 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 1223 389 Gi0/0 Gi0/1 1319 6 10.88.226.9 192.168.202.25 1478 25 Gi0/0 Gi0/1 461 6 192.168.150.60 192.168.60.226 2567 445 Gi0/0 Gi0/1 13 6
192.168.13.97 192.168.60.28 3451 389 Gi0/0 Gi0/1 9 17 192.168.11.12 192.168.60.97 4231 636 Gi0/0 Gi0/1 346 6 192.168.18.10 192.168.60.21 3131 3268 Gi0/0 Gi0/1 296 6 192.168.10.8 192.168.60.95 1934 3269 Gi0/0 Gi0/1 516 6
10.88.226.1 192.168.202.22 2678 25 Gi0/0 Gi0/1 567 6 10.89.16.226 192.168.150.60 3562 135 Gi0/0 Gi0/1 312 6

TCP 포트 389, 636, 3268 및 3269에서의 LDAP 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv4 cache format table을 사용합니다 | IPV4 DST 주소 포함 |_(389|636|3268|3269)_.*_6_ 명령을 사용하여 관련 NetFlow 레코드를 표시합니다.

UDP 포트 389에서 LDAP 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv6 cache format 테이블을 사용합니다 | IPV6 DST ADDR 포함 |_(389)_.*_11_ 명령을 사용하여 관련 NetFlow 레코드를 표시합니다.

Cisco IOS Flexible NetFlow에 대한 자세한 내용은 Flexible Netflow Configuration Guide, Cisco IOS Release 15M&T 및 Cisco IOS Flexible NetFlow Configuration Guide, Release 12.4T를 참조하십시오.

식별: Cisco IOS Flexible NetFlow를 사용한 IPv6 트래픽 흐름 식별
MS13-079의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS Flexible NetFlow를 구성하여 이 문서에 설명된 네트워크 공격 벡터를 가진 취약성을 악용하려는 시도일 수 있는 IPv6 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv6 source address key 필드 명령문에 정의된 대로 소스 IPv6 주소를 기반으로 수신 IPv6 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv6 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.

! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input

Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다.

router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1465 389 Gi0/0 Gi0/0 1237 17 2001:DB...06::201 2001:DB...28::20 1445 389 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1895 139 Gi0/0 Gi0/0 3009 6 2001:DB...06::201 2001:DB...28::20 2856 5060 Gi0/0 Gi0/0 486 17 2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17 2001:DB...06::201 2001:DB...28::20 1765 636 Gi0/0 Gi0/0 3234 6 2001:DB...06::201 2001:DB...28::20 1341 445 Gi0/0 Gi0/0 1546 6 2001:DB...06::201 2001:DB...28::20 1890 3268 Gi0/0 Gi0/0 2023 6 2001:DB...06::201 2001:DB...28::20 1491 3269 Gi0/0 Gi0/0 5011 6

전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.

TCP 포트 389, 636, 3268 및 3269에서의 LDAP 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv6 cache format table을 사용합니다 | 관련 Cisco IOS Flexible NetFlow 레코드를 표시하려면 IPV6 DST ADDR|_(389|636|3268|3269)_.*_6_ 명령을 포함합니다.

UDP 포트 389의 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv6 cache format 테이블을 사용합니다 | IPV6 DST ADDR 포함 |_(389)_.*_11_ 명령을 사용하여 관련 NetFlow 레코드를 표시합니다.
Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽

완화: 통과 액세스 제어 목록
MS13-079의 경우, 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 389, 636, 3268, 3269 및 UDP 포트 389의 무단 LDAP IPv4 및 IPv6 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간이며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.

! !-- Include explicit permit statements for trusted sources that
!-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 389 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 636 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3268 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3269 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 389
! !-- The following vulnerability-specific ACEs !-- can aid in identification of attacks against MS13-079 ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 389 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 636 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3268 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3269 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 389 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 636 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 3268 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 3269 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 389 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks for MS13-079 ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 389 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 636 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 3268 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 3269 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside

식별: 통과 액세스 제어 목록
인터페이스에 tACL이 적용되면 관리자는 show access-list 명령을 사용하여 필터링된 TCP 포트 389, 636, 3268, 3269 및 UDP 포트 389의 LDAP IPv4 및 IPv6 패킷 수를 식별할 수 있습니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show access-list tACL-Policy 및 show access-list IPv6-tACL-Policy의 출력 예:

firewall#show access-list tACL-Policy access-list tACL-Policy; 11 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldap (hitcnt=31) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldaps (hitcnt=61) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3268 (hitcnt=131) access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3269 (hitcnt=57) access-list tACL-Policy line 5 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldap (hitcnt=47) access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 255.255.255.0 eq ldap (hitcnt=8) access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq ldaps (hitcnt=14) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 3268 (hitcnt=30) access-list tACL-Policy line 9 extended deny tcp any 192.168.60.0 255.255.255.0 eq 3269 (hitcnt=13) access-list tACL-Policy line 10 extended deny udp any 192.168.60.0 255.255.255.0 eq ldap (hitcnt=15) access-list tACL-Policy line 11 extended deny ip any any (hitcnt=8)

앞의 예에서 액세스 목록 tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

ACE 라인 6에 대한 TCP 포트 389의 8개 LDAP 패킷

ACE 라인 7에 대한 TCP 포트 636의 14개 LDAP 패킷

ACE 라인 8에 대한 TCP 포트 3268의 30개 LDAP 패킷

ACE 라인 9에 대한 TCP 포트 3269의 13개 LDAP 패킷

ACE 라인 10에 대한 UDP 포트 389의 15개 LDAP 패킷

firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 11 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldap (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldaps (hitcnt=28) ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 3268 (hitcnt=124) ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 3269 (hitcnt=81) ipv6 access-list IPv6-tACL-Policy line 5 permit udp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldap (hitcnt=63) ipv6 access-list IPv6-tACL-Policy line 6 deny tcp any 2001:db8:1:60::/64 eq ldap (hitcnt=47) ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:db8:1:60::/64 eq ldaps (hitcnt=33) ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:db8:1:60::/64 eq 3268 (hitcnt=216) ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:db8:1:60::/64 eq 3269 (hitcnt=139) ipv6 access-list IPv6-tACL-Policy line 10 deny udp any 2001:db8:1:60::/64 eq ldap (hitcnt=127) ipv6 access-list IPv6-tACL-Policy line 11 deny ip any any (hitcnt=27)

앞의 예에서 액세스 목록 IPv6-tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

ACE 라인 6에 대한 TCP 포트 389의 47개 LDAP 패킷

ACE 라인 7에 대한 TCP 포트 636의 33개 LDAP 패킷

ACE 라인 8에 대한 TCP 포트 3268의 216개 LDAP 패킷

ACE 라인 9에 대한 TCP 포트 3269의 139개 LDAP 패킷

ACE 라인 10에 대한 UDP 포트 389의 127개 LDAP 패킷

또한 syslog 메시지 106023은 소스 및 목적지 IP 주소, 소스 및 목적지 포트 번호, 거부된 패킷에 대한 IP 프로토콜을 포함하는 중요한 정보를 제공할 수 있습니다.
식별: 방화벽 액세스 목록 Syslog 메시지
log 키워드가 없는 ACE(Access Control Entry)에서 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106023에 있습니다.

Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에서 syslog 구성에 대한 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.

정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

firewall#show logging | grep 106023 Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/1914 dst inside:192.168.60.191/389 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/3095 dst inside:192.168.60.33/389 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/1234 dst inside:192.168.60.240/636 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2369 dst inside:192.168.60.115/3268 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2001 dst inside:192.168.60.38/3269 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:d::a85e:172/2121 dst inside:2001:db8:1:60::134/389 by access-group "IPv6-tACL-Policy" firewall#

앞의 예에서 tACL tACL-Policy 및 IPv6-tACL-Policy에 대해 로깅된 메시지는 영향을 받는 디바이스에 할당된 주소 블록으로 전송되는 TCP 포트 389, 3268, 3269 및 UDP포트 389에 대해 스푸핑된 LDAP 패킷을 보여줍니다.

Cisco ASA Series Adaptive Security Appliance용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Messages, 8.2에 있습니다. Cisco Catalyst 6500 Series ASA Services Module의 syslog 메시지에 대한 추가 정보는 Cisco ASASM CLI 컨피그레이션 가이드의 Analyzing Syslog Messages 섹션에 있습니다. Cisco FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series Switch 및 Cisco 7600 Series Router Firewall Services Module Logging System Log Messages에 있습니다.

syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.
완화: 애플리케이션 레이어 프로토콜 검사
애플리케이션 레이어 프로토콜 검사는 Cisco ASA 5500 Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.2(1)부터, Cisco Catalyst 6500 Series ASA Services Module의 경우 소프트웨어 릴리스 8.5부터, Cisco Firewall Services Module의 경우 소프트웨어 릴리스 4.0(1)부터 사용할 수 있습니다. 이 고급 보안 기능은 방화벽을 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책에 의해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.

애플리케이션 레이어 프로토콜 검사에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 Configuring Application Layer Protocol Inspection 섹션(CLI 사용) 8.2 및 Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide(8.5)의 Configuring Application Inspection 섹션 을 참조하십시오.

주의: 애플리케이션 레이어 프로토콜 검사로 방화벽 성능이 저하됩니다. 관리자는 이 기능이 프로덕션 환경에 구축되기 전에 랩 환경에서 성능에 미치는 영향을 테스트하는 것이 좋습니다.

HTTP 애플리케이션 검사

MS13-071의 경우 관리자는 Cisco ASA 5500 Series Adaptive Security Appliance, Cisco 6500 Series ASA Services Module 및 Cisco Firewall Services Module에서 HTTP 검사 엔진을 사용하여 패턴 일치를 위해 정규식(영역)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 이 문서에 설명된 것과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호하는 데 도움이 될 수 있습니다. 다음 HTTP 애플리케이션 검사 컨피그레이션에서는 Cisco MPF(Modular Policy Framework)를 사용하여 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326의 트래픽을 검사하기 위한 정책을 생성합니다. HTTP 애플리케이션 검사 정책은 HTTP 응답 본문이 이러한 취약성과 연결된 ActiveX 컨트롤과 일치하도록 구성된 리젠스 중 하나를 포함하는 연결을 삭제합니다.

주의: 구성된 회귀는 HTML 응답 본문의 임의 위치에서 텍스트 문자열과 일치할 수 있습니다. ActiveX 컨트롤을 호출하지 않고 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 응용 프로그램이 영향을 받지 않도록 주의해야 합니다. regex 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

Cisco 방화벽 기술을 활용하는 ActiveX 익스플로잇 및 완화에 대한 자세한 내용은 Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations 백서를 참조하십시오.

! !-- Configure regexes that look for a combination of !-- the .theme file extension and the .scr file !-- extension that is typically used to exploit the !-- vulnerability associated with MS13-071 ! regex MS13-071_1 "\.[Tt][Hh][Ee][Mm][Ee]" regex MS13-071_2 "\.[Ss][Cc][Rr]"
! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any MS13-071_regex_class match regex MS13-071_1 match regex MS13-072_2 ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Sep_2013_policy parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex class MS13-071_regex_class drop-connection log
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_Sep_2013_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global

객체 그룹의 컨피그레이션 및 사용에 대한 자세한 내용은 CLI를 사용하는 Cisco ASA 5500 Series Configuration Guide, 8.2 for Configuring Object Groups 및 Cisco Catalyst 6500 Series ASA Services Module CLI 컨피그레이션 가이드, 8.5의 Configuring Objects and Access Lists 섹션을 참조하십시오.

HTTP 애플리케이션 검사 및 MPF에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 CLI, 8.2를 사용한 HTTP Inspection Overview 섹션 에 있습니다.
ID: 애플리케이션 레이어 프로토콜 검사
방화벽 syslog 메시지 415006은 URI가 사용자 정의 정규식과 일치할 때 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 415006에 있습니다.

HTTP 메시지 본문이 사용자 정의 정규식과 일치할 경우 방화벽 syslog 메시지 415007이 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 415007에 있습니다.

Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에 대한 syslog 구성 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이러한 취약성을 악용하려는 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 관리자는 grep 키워드와 함께 다른 정규식을 사용하여 로깅된 메시지에서 특정 데이터를 검색할 수 있습니다.

정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

HTTP 애플리케이션 검사

firewall#show logging | grep 415006 Sep 10 2013 14:36:20: %ASA-5-415006: HTTP - matched Class 23: MS13-071_regex_class in policy-map MS_Sep_2013_policy, URI matched - Dropping connection from inside:192.168.60.88/1108 to outside:192.0.2.62/80 Sep 10 2013 14:37:02: %ASA-5-415006: HTTP - matched Class 26: MS13-071_regex_class in policy-map MS_Sep_2013_policy, URI matched - Dropping connection from inside:192.168.60.71/3158 to outside:192.0.2.62/80

HTTP 애플리케이션 검사가 활성화된 상태에서 show service-policy inspect protocol 명령은 이 기능에 의해 검사되고 삭제된 HTTP 패킷의 수를 식별합니다. 다음 예에서는 show service-policy inspect http의 출력을 보여 줍니다.

firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http MS_Sep_2013_policy, packet 5025, drop 13, reset-drop 0 protocol violations packet 0 match response body regex class MS13-071_regex_class drop-connection log, packet 13

앞의 예에서는 5025개의 HTTP 패킷이 검사되었고 13개의 HTTP 패킷이 삭제되었습니다.
Cisco ACE

완화: 애플리케이션 프로토콜 검사
애플리케이션 프로토콜 검사는 Cisco ACE Application Control Engine Appliance 및 Module에서 사용할 수 있습니다. 이 고급 보안 기능은 Cisco ACE 디바이스를 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책을 통해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.

애플리케이션 프로토콜 검사에 대한 자세한 내용은 Cisco ACE 4700 Series Appliance Security Configuration Guide의 Configuring Application Protocol Inspection 섹션에 있습니다.

HTTP Deep Packet 검사

MS13-071에 대한 HTTP DPI(Deep Packet Inspection)를 수행하기 위해 관리자는 패턴 매칭을 위한 정규식(regex)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 이 문서에 설명된 것과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호하는 데 도움이 될 수 있습니다. 다음 HTTP 애플리케이션 프로토콜 검사 컨피그레이션은 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326에서 트래픽을 검사합니다. HTTP 애플리케이션 프로토콜 검사 정책은 HTTP 콘텐츠가 이러한 취약성과 연결된 ActiveX 컨트롤과 일치하도록 구성된 리젠스를 포함하는 연결을 삭제합니다.

주의: 구성된 규칙은 HTML 패킷의 컨텐트에서 임의의 위치에 있는 텍스트 문자열과 일치할 수 있습니다. ActiveX 컨트롤을 호출하지 않고 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 응용 프로그램이 영향을 받지 않도록 주의해야 합니다.

Cisco ACE Application Control Engine Appliance 및 Module을 활용하는 ActiveX 익스플로잇 및 완화에 대한 자세한 내용은 Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection Cisco Security Intelligence Operations 백서를 참조하십시오.

! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the .theme file !-- extension and the .scr file extension that is typically !-- used to exploit the vulnerability associated with MS13-071 ! class-map type http inspect match-any MS13-071_class
1 match content ".*\.[Tt][Hh][Ee][Mm][Ee].*"
2 match content ".*\.[Ss][Cc][Rr].*"
! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http all-match MS_Sep_2013 class MS13-071_class
reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_Sep_2013 class L4_http_class inspect http policy MS_Sep_2013 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Sep_2013

ID: 애플리케이션 프로토콜 검사
HTTP Deep Packet 검사

Cisco ACE Application Control Engine syslog 메시지 415006은 URI가 사용자 정의 정규식과 일치할 때 생성됩니다. syslog 메시지는 해당 HTTP 클래스 및 HTTP 정책을 식별하고 HTTP 연결에 적용된 작업을 나타냅니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ACE 4700 Series Appliance System Message Guide - System Message 415006에 있습니다.

ACE/Admin# show logging | include 415006
Sep 10 2013 15:26:43: %ACE-5-415006: HTTP - matched MS13-071_class in policy-map L4_MS_Sep_2013, URI matched - Resetting connection from vlan130:192.168.60.64/1777 to vlan206:192.0.2.71/80 Connection 0x33 Sep 10 2013 15:30:33: %ACE-5-415006: HTTP - matched MS13-071_class in policy-map L4_MS_Sep_2013, URI matched - Resetting connection from vlan130:192.168.60.64/1774 to vlan206:192.0.2.71/80 Connection 0x31

HTTP Deep Packet Inspection이 활성화된 경우 show service-policy policyname detail 명령은 이 기능에 의해 검사되고 삭제된 HTTP 연결 수를 식별합니다. 다음 예에서는 show service-policy L4_MS_Sep_2013 detail의 출력을 보여 줍니다.

ACE/Admin# show service-policy L4_MS_Sep_2013 detail Status : ACTIVE Description: ----------------------------------------- Context Global Policy: service-policy: L4_MS_Sep_2013 class: L4_http_class inspect http: L7 inspect policy : MS_Sep_2013 Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 L7 Inspect policy : MS_Sep_2013 class/match : MS13-071_class Inspect action : reset log Total Inspected : 2 , Total Matched: 1 Total Dropped OnError: 0

앞의 예에서는 4개의 HTTP 연결이 검사되었고 2개의 HTTP 연결이 삭제되었습니다.

HTTP Deep Packet Inspection 및 Application Protocol Inspection에 대한 자세한 내용은 Cisco ACE 4700 Series Appliance Security Configuration Guide의 Configuring Application Protocol Inspection 섹션 에 나와 있습니다.
Cisco 침입 방지 시스템

완화: Cisco IPS 서명 이벤트 작업
관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 여러 취약점을 악용하려는 시도를 방지할 수 있습니다. 다음 표에는 CVE 식별자 및 이러한 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 해당 Cisco IPS 시그니처의 개요가 나와 있습니다.

CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도*

CVE-2013-0081 S741
2725/0 Microsoft SharePoint 서비스 거부 예 중간 90

CVE-2013-1315 S741 2732/0 Microsoft Excel 원격 코드 실행 예 높음 85

CVE-2013-0810 S741 2736/0 Microsoft Windows 테마 원격 코드 실행 예 높음 85

CVE-2013-3202 S741 2744/0 Microsoft Windows Internet Explorer 메모리 손상 예 높음 85

CVE-2013-3203 S741 2747/0 Microsoft Windows Internet Explorer 메모리 손상 예 높음 85

CVE-2013-3137 S741 2765/0 Microsoft FrontPage 정보 공개 예 중간 80

CVE-2013-3868 S741 2769/0 Active Directory의 취약성으로 인해 서비스 거부 발생 가능 예 중간 85

CVE-2013-3208 S741 2771/0 Microsoft Internet Explorer 메모리 손상 취약성 예 높음 80

CVE-2013-3180 S741 2772/0 Microsoft Sharepoint XSS 권한 상승
예 중간 85

CVE-2013-3204 S741 2773/0 Microsoft Internet Explorer 무료 사용 예 높음 85

CVE-2013-3205 S741 2774/0 Microsoft Internet Explorer 메모리 손상 취약성 예 높음 85

CVE-2013-3207 S741 2775/0 Microsoft Windows Internet Explorer 메모리 손상 예 높음 85

CVE-2013-3206 S741 2777/0 Microsoft Internet Explorer 무료 취약성 후 사용 예 높음 85

CVE-2013-3209 S741 4155/0 Microsoft Internet Explorer 원격 코드 실행 예 높음 85

CVE-2013-3845 S741 4156/0 Microsoft Internet Explorer 원격 코드 실행 예 높음 85

* Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.

관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하도록 합니다.

스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업으로 인해 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.

Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x 및 6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.

위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
Cisco IPS 서명 이벤트 데이터

다음 데이터는 Cisco IPS Signature Update 버전 S741을 실행하는 Cisco IPS 센서의 샘플 그룹에서 Cisco Remote Management Services 팀이 제공하는 원격 모니터링 서비스를 통해 컴파일되었습니다 또는 그 이상 이 데이터의 목적은 2013년 9월 10일 발표된 Microsoft 9월 보안 업데이트의 일부로 릴리스된 취약성을 악용하려는 시도에 대한 가시성을 제공하는 것입니다. 이 데이터는 2013년 9월 24일에 트리거된 이벤트에서 수집되었습니다.

CVE ID 서명 ID 시그니처를 보고하는 센서의 비율 가장 많이 본 상위 10개 이벤트 중 시그니처를 보고하는 센서의 비율

CVE-2013-0081 2725/0 0 0

CVE-2013-1315 2732/0 0 0

CVE-2013-0810 2736/0 0 0

CVE-2013-3202 2744/0 0 0

CVE-2013-3203 2747/0 0 0

CVE-2013-3137 2765/0 0 0

CVE-2013-3868 2769/0 3 3

CVE-2013-3208 2771/0 0 0

CVE-2013-3180 2772/0 0 0

CVE-2013-3204 2773/0 0 0

CVE-2013-3205 2774/0 0 0

CVE-2013-3207 2775/0 0 0

CVE-2013-3206 2777/0 0 0

CVE-2013-3209 4155/0 0 0

CVE-2013-3845 4156/0 0 0

Cisco 보안 관리자

식별: Cisco Security Manager

Cisco Security Manager, 이벤트 뷰어
소프트웨어 버전 4.0부터 Cisco Security Manager는 Cisco 방화벽 및 Cisco IPS 디바이스에서 syslog를 수집하고 이 문서에 설명된 취약성과 관련된 이벤트를 쿼리할 수 있는 이벤트 뷰어를 제공합니다.

이벤트 뷰어에서 사전 정의된 IPS Alert Events 보기를 사용하여 사용자는 Cisco IPS 서명 2725/0과 관련된 모든 캡처된 이벤트를 반환하기 위해 이벤트 필터에 검색 문자열 2725/0을 입력할 수 있습니다.

이벤트 뷰어의 미리 정의된 Firewall Denied Events(방화벽 거부 이벤트) 보기에서 다음 필터를 사용하면 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 액세스 목록 거부 syslog 메시지를 제공합니다.

Destination 이벤트 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60:::/64)

다음을 포함하는 객체를 필터링하려면 Destination Service 이벤트 필터를 사용합니다.

TCP 포트 389

TCP 포트 636

TCP 포트 3268

TCP 포트 3269

UDP 포트 389

이벤트 유형 ID 필터는 이벤트 뷰어의 Firewall Denied Events 미리 정의된 보기와 함께 다음 목록에 표시된 syslog ID를 필터링하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 거부 syslog 메시지를 제공할 수 있습니다.

ASA-4-106021(uRPF 스푸핑)

ASA-4-415006(HTTP 검사)

ASA-4-106023(ACL 거부)

Cisco Security Manager 이벤트에 대한 자세한 내용은 Cisco Security Manager 사용 설명서의 이벤트 필터링 및 쿼리 섹션을 참조하십시오.

Cisco Security Manager 보고서 관리자
소프트웨어 버전 4.1부터 Cisco Security Manager는 Cisco IPS 이벤트 보고 기능인 보고서 관리자를 지원합니다. 관리자는 이 기능을 사용하여 원하는 Cisco IPS 이벤트를 기반으로 보고서를 정의할 수 있습니다. 필요에 따라 보고서를 예약하거나 임시 보고서를 실행할 수 있습니다.

보고서 관리자를 사용하여 사용자는 시간 범위 및 서명 특성을 기반으로 관심 있는 Cisco IPS 장치에 대한 IPS Top Signatures 보고서를 정의할 수 있습니다. Signature ID가

2725/0

2732/0

2736/0

2744/0

2747/0

2765/0

2769/0

2771/0

2772/0

2773/0

2774/0

2775/0

2777/0

4155/0

4156/0

Cisco Security Manager는 해당 시그니처에 대해 실행된 경고의 수를 보고서에 표시된 모든 시그니처 경고의 총 합계와 비교하여 순위를 매기는 종합 보고서를 생성합니다.

또한 보고서 관리자에서 상위 서비스 보고서를 다음 구성과 함께 사용하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타내는 이벤트 보고서를 생성할 수 있습니다.

Destination IP 네트워크 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60::/64)

기준 설정 페이지에서 거부 작업을 설정합니다.

Cisco Security Manager IPS 이벤트 보고에 대한 자세한 내용은 Cisco Security Manager User Guide의 Understanding IPS Top Reports 섹션을 참조하십시오.

ID: Event Management System 파트너 이벤트
Cisco는 Cisco Developer Network를 통해 업계 최고의 SIEM(Security Information and Event Management) 기업과 협력하고 있습니다. 이러한 파트너십을 통해 Cisco는 장기 로그 아카이빙 및 포렌식, 이기종 이벤트 상관관계, 고급 규정 준수 보고 등 비즈니스 문제를 해결하는 검증된 SIEM 시스템을 제공할 수 있습니다. Security Information and Event Management 파트너 제품을 활용하여 Cisco 디바이스에서 이벤트를 수집한 다음 수집된 이벤트에서 Cisco IPS 시그니처로 생성된 사고를 쿼리하거나, 이 문서에 설명된 취약성을 악용하려는 잠재적인 시도를 나타낼 수 있는 방화벽의 syslog 메시지를 거부할 수 있습니다. 쿼리는 다음 목록에 표시된 것처럼 Sig ID 및 Syslog ID로 수행할 수 있습니다.

2725/0 Microsoft SharePoint 서비스 거부

2732/0 Microsoft Excel 원격 코드 실행

2736/0 Microsoft Windows 테마 원격 코드 실행

2744/0 Microsoft Windows Internet Explorer 메모리 손상

2747/0 Microsoft Windows Internet Explorer 메모리 손상

2765/0 Microsoft FrontPage 정보 공개

Active Directory의 2769/0 취약성으로 인해 서비스 거부가 발생할 수 있음

2771/0 Microsoft Internet Explorer 메모리 손상 취약성

2772/0 Microsoft Sharepoint XSS 권한 상승

2773/0 Microsoft Internet Explorer 무료 사용 후

2774/0 Microsoft Internet Explorer 메모리 손상 취약성

2775/0 Microsoft Windows Internet Explorer 메모리 손상

2777/0 Microsoft Internet Explorer Use After Free Vulnerability

4155/0 Microsoft Internet Explorer 원격 코드 실행

4156/0 Microsoft Internet Explorer 원격 코드 실행

ASA-4-106021(uRPF 스푸핑)

ASA-4-106023(ACL 거부)

ASA-4-415006(HTTP 검사)

SIEM 파트너에 대한 자세한 내용은 Security Management System 웹 사이트를 참조하십시오.

CVE ID	시그니처 릴리스	서명 ID	서명 이름	사용	심각도	충실도*
CVE-2013-0081	S741	2725/0	Microsoft SharePoint 서비스 거부	예	중간	90
CVE-2013-1315	S741	2732/0	Microsoft Excel 원격 코드 실행	예	높음	85
CVE-2013-0810	S741	2736/0	Microsoft Windows 테마 원격 코드 실행	예	높음	85
CVE-2013-3202	S741	2744/0	Microsoft Windows Internet Explorer 메모리 손상	예	높음	85
CVE-2013-3203	S741	2747/0	Microsoft Windows Internet Explorer 메모리 손상	예	높음	85
CVE-2013-3137	S741	2765/0	Microsoft FrontPage 정보 공개	예	중간	80
CVE-2013-3868	S741	2769/0	Active Directory의 취약성으로 인해 서비스 거부 발생 가능	예	중간	85
CVE-2013-3208	S741	2771/0	Microsoft Internet Explorer 메모리 손상 취약성	예	높음	80
CVE-2013-3180	S741	2772/0	Microsoft Sharepoint XSS 권한 상승	예	중간	85
CVE-2013-3204	S741	2773/0	Microsoft Internet Explorer 무료 사용	예	높음	85
CVE-2013-3205	S741	2774/0	Microsoft Internet Explorer 메모리 손상 취약성	예	높음	85
CVE-2013-3207	S741	2775/0	Microsoft Windows Internet Explorer 메모리 손상	예	높음	85
CVE-2013-3206	S741	2777/0	Microsoft Internet Explorer 무료 취약성 후 사용	예	높음	85
CVE-2013-3209	S741	4155/0	Microsoft Internet Explorer 원격 코드 실행	예	높음	85
CVE-2013-3845	S741	4156/0	Microsoft Internet Explorer 원격 코드 실행	예	높음	85

CVE ID	서명 ID	시그니처를 보고하는 센서의 비율	가장 많이 본 상위 10개 이벤트 중 시그니처를 보고하는 센서의 비율
CVE-2013-0081	2725/0	0	0
CVE-2013-1315	2732/0	0	0
CVE-2013-0810	2736/0	0	0
CVE-2013-3202	2744/0	0	0
CVE-2013-3203	2747/0	0	0
CVE-2013-3137	2765/0	0	0
CVE-2013-3868	2769/0	3	3
CVE-2013-3208	2771/0	0	0
CVE-2013-3180	2772/0	0	0
CVE-2013-3204	2773/0	0	0
CVE-2013-3205	2774/0	0	0
CVE-2013-3207	2775/0	0	0
CVE-2013-3206	2777/0	0	0
CVE-2013-3209	4155/0	0	0
CVE-2013-3845	4156/0	0	0

추가 정보

이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

이 게시판 관련

Microsoft Outlook 암호화 메시지 처리 임의 코드 실행 취약성

Microsoft SharePoint Server W3WP 서비스 거부 취약성

Microsoft Exchange 및 SharePoint Server 컴퓨터 인증 확인 임의의 코드 실행 취약성 확인

Microsoft SharePoint Server 사이트 간 스크립팅 취약성

Microsoft SharePoint Server POST 사이트 간 스크립팅 취약성

Microsoft Office Word XML 구문 분석 정보 노출 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office Word 메모리 손상 취약성

Microsoft Office 액세스 메모리 손상 취약성

Microsoft Office 액세스 메모리 손상 취약성

Microsoft Office 액세스 메모리 손상 취약성

Microsoft Active Directory LDAP 서비스 거부 취약성

Microsoft Office Excel 메모리 손상 취약성

Microsoft Office Excel 메모리 손상 취약성

Microsoft Office Excel XML 콘텐츠 구문 분석 정보 공개 취약성

Microsoft Windows 테마 파일 처리 임의 코드 실행 취약성

Microsoft Internet Explorer CHtmParse Use-After-Free Code 실행 취약성

Microsoft Internet Explorer CTreePos 개체 메모리 손상 취약성

Microsoft Internet Explorer 메모리 손상 취약성

Microsoft Internet Explorer 메모리 손상 취약성

Microsoft Internet Explorer Caret::UpdateScreenCaret 함수 메모리 손상 취약성

Microsoft Internet Explorer CWindow Destructor 메모리 손상 취약성

Microsoft Internet Explorer CBlockElement 개체 메모리 손상 취약성

Microsoft Internet Explorer CAtomTable 개체 메모리 손상 취약성

Microsoft Internet Explorer CSegment 개체 메모리 손상 취약성

Microsoft Internet Explorer CTreePos Use-After-Free Code Execution 취약성

Microsoft Windows 서비스 제어 관리자 임의 코드 실행 취약성

Microsoft Windows 개체 연결 및 임의의 코드 실행 취약성 포함

Microsoft FrontPage XML 콘텐츠 처리 정보 공개 취약성

Microsoft Office 중국어 입력 메서드 편집기 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 권한 에스컬레이션 취약성

Microsoft Windows win32k 커널 모드 드라이버 정보 공개 취약성
모두 표시 47...

개정 이력

버전 설명 섹션 날짜

4 Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 24일부터 IPS 서명에 사용할 수 있습니다. 2013년 9월 25일 17:25(GMT)

3 Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 17일부터 IPS 서명에 사용할 수 있습니다.

2013년 9월 18일 17:25(GMT)

2 Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 12일부터 IPS 서명에 사용할 수 있습니다.

2013년 9월 13일 17:12(GMT)

1 Cisco Applied Mitigation Bulletin 최초 공개 2013년 9월 10일 17:21(GMT)

간단히 표시

Cisco 보안 절차

Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

2013년 9월 Microsoft 보안 게시판 요약

Cisco Applied Mitigation 게시판

Cisco 보안

Cisco Security IntelliShield Alert Manager Service

Cisco IOS 디바이스를 강화하는 Cisco 가이드

XSS(Cross-Site Scripting) 위협 벡터 이해

Cisco IOS NetFlow - 홈 페이지(Cisco.com)

Cisco IOS NetFlow 백서

NetFlow 성능 분석

Cisco 네트워크 기반 보호 백서

Cisco Network Foundation Protection 프레젠테이션

보안 중심의 IP 주소 지정 방식

Cisco 방화벽 제품 - 홈 페이지 Cisco.com

Cisco Catalyst 6500 Series ASA Services Module

Cisco ACE Application Control Engine 모듈 설명서

인터넷 서비스 공급자를 위한 유니캐스트 역방향 경로 전달 개선 사항

Cisco 침입 방지 시스템

Cisco IPS 서명 다운로드

Cisco IPS 서명 검색 페이지

Cisco 보안 관리자

CVE(Common Vulnerabilities and Exposures)

영향을 받는 제품

보안 취약성은 다음과 같은 제품 조합에 적용됩니다.

기본 제품

마이크로소프트 액세스 2007(기본) | 2010(32비트 에디션, 64비트 에디션, 32비트 에디션 SP1, 64비트 에디션 SP1, 32비트 에디션 SP2, 64비트 에디션 SP2) | 2013(32비트 버전, 64비트 버전)

엑셀 2003(기본, SP1, SP2, SP3) | 2007(기본, SP1, SP2, SP3) | 2010(32비트 버전) (Base, SP1) | 2010(64비트 버전) (Base, SP1) | 2013(32비트 버전)(기본) | 2013(64비트 버전)(기본) | 2013 RT(기본)

Exchange 서버 2007(기본, SP1, SP2, SP3) | 2010(기본, SP1, SP2, SP3) | 2013(기본, CU1, CU2, CU3)

1면 페이지 2003(기본)

인터넷 탐색기 6.0(기본) | 7.0(기본) | 8.0(기본) | 9.0(기본) | 10.0(기본)

Microsoft Office Compatibility Pack for Word, Excel 및 PowerPoint 2007 파일 형식 원래 릴리스(기본, SP1, SP2, SP3)

Microsoft Office Word 뷰어 2003(기본, SP1, SP2, SP3)

사무실 2003년(SP3) | 2007(SP3) | 2010(SP1)

Mac용 Office 2011년(기본)

Office SharePoint Server 2007년(SP3) | 2007 x64 Edition(SP3) | 2010(SP1, SP2) | 2013(기본)

아웃룩 2007년(SP3) | 2010(SP1, SP2)

SharePoint 포털 서버 2003년(SP3)

윈도우 7 32비트 시스템(Base, SP1) | x64 기반 시스템(Base, SP1)

윈도우 8 32비트 시스템용(기본) |(x64 기반 시스템)(기본)

윈도 RT 원래 릴리스(기본)

Windows Server 2003 Datacenter Edition(기본, SP1, SP2) | Datacenter Edition, 64비트(Itanium)(Base, SP1, SP2) | Datacenter Edition x64(AMD/EM64T)(기본, SP1, SP2) | Enterprise Edition(기본, SP1, SP2) | Enterprise Edition, 64비트(Itanium)(Base, SP1, SP2) | Enterprise Edition x64(AMD/EM64T)(기본, SP1, SP2) | Standard Edition(Base, SP1, SP2) | Standard Edition, 64비트(Itanium)(Base, SP1, SP2) | Standard Edition x64(AMD/EM64T)(기본, SP1, SP2) | Web Edition(기본, SP1, SP2)

Windows Server 2008 Datacenter Edition(기본, SP1, SP2) | Datacenter Edition, 64비트(Base, SP1, SP2) | Itanium-Based Systems Edition(Base, SP1, SP2) | Enterprise Edition(기본, SP1, SP2) | Enterprise Edition, 64비트(Base, SP1, SP2) | Essential Business Server Standard(기본, SP1, SP2) | Essential Business Server Premium(기본, SP1, SP2) | Essential Business Server Premium, 64비트(기본, SP1, SP2) | Standard Edition(Base, SP1, SP2) | Standard Edition, 64비트(Base, SP1, SP2) | 웹 서버(기본, SP1, SP2) | 웹 서버, 64비트(Base, SP1, SP2)

Windows Server 2008 R2 x64-Based Systems Edition(Base, SP1) | Itanium-Based Systems Edition(Base, SP1)

Windows Server 2012 원래 릴리스(기본)

Windows SharePoint Services 2.0(기본, SP1, SP2, SP3) | 3.0(SP3)

Windows Vista Home Basic(기본, SP1, SP2) | 홈 프리미엄(기본, SP1, SP2) | 비즈니스(기본, SP1, SP2) | 엔터프라이즈(기본, SP1, SP2) | Ultimate(기본, SP1, SP2) | Home Basic x64 Edition(기본, SP1, SP2) | Home Premium x64 Edition(기본, SP1, SP2) | Business x64 Edition(기본, SP1, SP2) | Enterprise x64 Edition(기본, SP1, SP2) | Ultimate x64 Edition(기본, SP1, SP2)

단어 2003년(SP3) | 2007(SP3) | 2010(32비트 Edition, 64비트 Edition, SP1, SP2)

Word 뷰어 2007(기본)

SharePoint 기반 2010년(SP1, SP2) | 2013(기본)

Microsoft 병음 IME 2010년(기본)

관련 제품

Cisco Cisco 광대역 문제 해결사 원래 릴리스(기본) | 3.1(기본) | 3.2(기본)

Cisco BBSM(Building Broadband Service Manager) 원래 릴리스(기본) | 2.5 (.1) | 3.0(기본) | 4.0(기본, .1) | 4.2(기본) | 4.3(기본) | 4.4(기본) | 4.5(기본) | 5.0(기본) | 5.1(기본) | 5.2(기본)

Cisco CNS 네트워크 등록자 2.5(기본) | 3.0(기본) | 3.5(기본, .1) | 5.0(기본) | 5.5(기본, 0.13) | 6.0(.5, .5.2, .5.3, .5.4) | 6.1(기본, .1, .1.1, .1.2, .1.3, .1.4)

Cisco Collaboration Server DCA(Dynamic Content Adapter) 원래 릴리스(기본) | 1.0(기본) | 2.0(기본, (1)_SR2)

Cisco CTI(Computer Telephony Integration) 옵션 4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) | 7.0 ((0)_SR1, (0)_SR2) | 7.1 (2), (3), (4), (5)

Cisco 컨퍼런스 연결 1.1 ((3), (3)spA) | 1.2(기본, (1), (2), (2)SR1, (2)SR2)

Cisco E-mail Manager 원래 릴리스(기본) | 4.0(기본, .5i, .6) | 5.0 (Base, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)

Cisco 긴급 응답자 1.1(기본, (3), (4)) | 1.2 (기본, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) | 1.3(기본, (1a), (2))

Cisco ICM(Intelligent Contact Manager) 원래 릴리스(기본) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) | 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 7.1 (2), (3), (4), (5)

Cisco Unified Contact Center Enterprise Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition(기본, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1 4.1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) | Hosted Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)

Cisco Unified IP IVR 2.0(.2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4.0 ((1)_SR1, (4)_SR1) | 4.1 ((1)_SR1) | 4.5 ((2)_SR1, (2)_SR2) | 5.0 ((1)_SR1)

Cisco IP 상호운용성 및 협업 시스템(IPICS) 1.0(1.1)

Cisco IP 큐 관리자 2.2(기본)

Cisco IP/VC 3540 Application Server 모듈 3.2(.0.1, .138) | 3.5(.0.8)

Cisco IP/VC 3540 Rate Matching Module 3.0(.9)

Cisco Media Blender 원래 릴리스(기본) | 3.0(기본) | 4.0(기본) | 5.0(기본, (0)_SR1, (0)_SR2)

Active Directory용 Cisco 네트워킹 서비스 원래 릴리스(기본)

Cisco Outbound 옵션 원래 릴리스(기본)

Cisco Personal Assistant 1.0(기본, (1)) | 1.1(기본) | 1.3(기본, .1, .2, .3, .4) | 1.4(기본, .2, .3, .4, .5, .6)

Cisco Remote Monitoring Suite 옵션 1.0(기본) | 2.0(기본, (0)_SR1)

Windows용 Cisco Secure ACS(Access Control Server) 2.6(기본) | 2.6.3.2(기본) | 2.6.4(기본) | 2.6.4.4(기본) | 3.0(기본) | 3.0.1(기본) | 3.0.1.40(기본) | 3.0.2(기본) | 3.0.3(기본) | 3.0.3.6(기본) | 3.0.4(기본) | 3.1.1(기본) | 3.1.1.27(기본) | 3.1.2(기본) | 3.2(기본) | 3.2.1(기본) | 3.2.3(기본) | 3.3.1(기본) | 3.3.2.2(기본) | 3.3.1.16(기본) | 3.3.3.11(기본) | 4.0(기본) | 4.0.1(기본) | 4.0.1.27(기본) | 4.1.1.23(기본)

Cisco Secure Access Control Server Solution Engine(ACSE) 3.1(기본, 0.1) | 3.2(기본, .1.20, .2.5, .3) | 3.3(기본, .1, .1.16, .2.2, .3, .4, .4.12) | 4.0(기본, .1, .1.42, .1.44, .1.49) | 4.1(기본, .1.23, .1.23.3, .3, .3.12)

Cisco Secure URT(User Registration Tool) 원래 릴리스(기본) | 1.2(기본, .1) | 2.0(기본, .7, .8) | 2.5(기본, .1, .2, .3, .4, .5)

Cisco SN 5420 Storage 라우터 1.1(기본, .3, .4, .5, .7, .8) | 2.1 (.1, .2)

Cisco SN 5428-2 Storage 라우터 3.2(.1, .2) | 3.3(.1, .2) | 3.4 (.1) | 3.5(기본, .1, .2, .3, .4)

Cisco Trailhead 원래 릴리스(기본) | 4.0(기본)

Cisco Unified Communications Manager 원래 릴리스(기본) | 1.0(기본) | 2.0(기본) | 3.0(기본) | 3.0.3(a)(기본) | 3.1(기본, .1, .2, .3a) | 3.1(1)(기본) | 3.1(2)(기본) | 3.1(2)SR3(기본) | 3.1(3)(기본) | 3.1(3)SR2(기본) | 3.1(3)SR4(기본) | 3.2(기본) | 3.2(3)SR3(기본) | 3.3(기본) | 3.3(2)SPc(기본) | 3.3(3)(기본) | 3.3(3)ES61(기본) | 3.3(3)SR3(기본) | 3.3(3)SR4a(기본) | 3.3(3a)(기본) | 3.3(4)(기본) | 3.3(4)ES25(기본) | 3.3(4)SR2(기본) | 3.3(4c)(기본) | 3.3(5)(기본) | 3.3(5)ES24(기본) | 3.3(5)SR1(기본) | 3.3(5)SR1a(기본) | 3.3(5)SR2(기본) | 3.3(5)SR2a(기본) | 3.3(5)SR3(기본) | 3.3(59)(기본) | 3.3(61)(기본) | 3.3(63)(기본) | 3.3(64)(기본) | 3.3(65)(기본) | 3.3(66)(기본) | 3.3(67.5)(기본) | 3.3(68.1)(기본) | 3.3(71.0)(기본) | 3.3(74.0)(기본) | 3.3(78)(기본) | 3.3(76)(기본) | 4.0(.1, .2) | 4.0(2a)ES40(기본) | 4.0(2a)ES56(기본) | 4.0(2a)SR2b(기본) | 4.0(2a)SR2c(기본) | 4.1(기본) | 4.1(2)(기본) | 4.1(2)ES33(기본) | 4.1(2)ES50(기본) | 4.1(2)SR1(기본) | 4.1(3)(기본) | 4.1(3)ES(기본) | 4.1(3)ES07(기본) | 4.1(3)ES24(기본) | 4.1(3)SR(기본) | 4.1(3)SR1(기본) | 4.1(3)SR2(기본) | 4.1(3)SR3(기본) | 4.1(3)SR3b(기본) | 4.1(3)SR3c(기본) | 4.1(3)SR4(기본) | 4.1(3)SR4b(기본) | 4.1(3)SR4d(기본) | 4.1(3)SR5(기본) | 4.1(4)(기본) | 4.1(9)(기본) | 4.1(17)(기본) | 4.1(19)(기본) | 4.1(22)(기본) | 4.1(23)(기본) | 4.1(25)(기본) | 4.1(26)(기본) | 4.1(27.7)(기본) | 4.1(28.2)(기본) | 4.1(30.4)(기본) | 4.1(36)(기본) | 4.1(39)(기본) | 4.2(1)(기본) | 4.2(1)SR1b(기본) | 4.2(1.02)(기본) | 4.2(1.05.3)(기본) | 4.2(1.06)(기본) | 4.2(1.07)(기본) | 4.2(3)(기본) | 4.2(3)SR1(기본) | 4.2(3)SR2(기본) | 4.2(3.08)(기본) | 4.2(3.2.3)(기본) | 4.2(3.3)(기본) | 4.2(3.13)(기본) | 4.3(1)(기본) | 4.3(1)SR(기본) | 4.3(1.57)(기본)

Cisco Unified CVP(Customer Voice Portal) 3.0 ((0), (0)SR1, (0)SR2) | 3.1 ((0), (0)SR1, (0)SR2) | 4.0 ((0), (1), (1)SR1, (2))

Cisco Unified 회의실 4.3(기본) | 5.3(기본) | 5.2(기본) | 5.4(기본) | 6.0(기본)

Cisco Unified MeetingPlace Express 1.1(기본) | 1.2(기본) | 2.0(기본)

Cisco Unity 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본) | 2.4(기본) | 2.46(기본) | 3.0(기본, .1) | 3.1(기본, .2, .3, .5, .6) | 3.2(기본) | 3.3(기본) | 4.0(기본, .1, .2, .3, .3b, .4, .5) | 4.1(기본, .1) | 4.2(기본, .1, .1 ES27) | 5.0 ((1)) | 7.0 ((2))

Cisco Unity Express 1.0.2(기본) | 1.1.1(기본) | 1.1.2(기본) | 2.0.1(기본) | 2.0.2(기본) | 2.1.1(기본) | 2.1.2(기본) | 2.1.3(기본) | 2.2.0(기본) | 2.2.1(기본) | 2.2.2(기본) | 2.3.0(기본) | 2.3.1(기본)

Cisco WCS(Wireless Control System) 소프트웨어 1.0(기본) | 2.0(기본, 44.14, 44.24) | 2.2 (.0, .111.0) | 3.0(기본, .101.0, .105.0) | 3.1(기본, .20.0, .33.0, .35.0) | 3.2(기본, .23.0, .25.0, .40.0, .51.0, .64.0) | 4.0(기본, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1(기본, .83.0)

CiscoWorks IP 텔레포니 환경 모니터(항목) 1.3(기본) | 1.4(기본) | 2.0(기본)

CiscoWorks LMS(LAN Management Solution) 1.3(기본) | 2.2(기본) | 2.5(기본) | 2.6(기본)

CiscoWorks QPM(QoS Policy Manager) 2.0(기본, .1, .2, .3) | 2.1 (.2) | 3.0(기본, .1) | 3.1(기본) | 3.2(기본, .1, .2, .3)

CiscoWorks RWAN(Routed WAN Management Solution) 1.0(기본) | 1.1(기본) | 1.2(기본) | 1.3(기본, .1)

CiscoWorks SNMS(Small Network Management Solution) 1.0(기본) | 1.5(기본)

CiscoWorks VPN/VMS(Security Management Solution) 1.0(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본)

Cisco Collaboration 서버 3.0(기본) | 3.01(기본) | 3.02(기본) | 4.0(기본) | 5.0(기본)

Cisco DOCSIS CPE Configurator 1.0(기본) | 1.1(기본) | 2.0(기본)

Cisco Unified IP IVR(Interactive Voice Response) 2.0(기본) | 2.1(기본)

Cisco SCE(Service Control Engine) 3.0(기본) | 3.1(기본)

Cisco 전송 관리자 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본, .1) | 3.0(기본, .1, .2) | 3.1(기본) | 3.2(기본) | 4.0(기본) | 4.1(기본, .4, .6, .6.6.1) | 4.6(기본) | 4.7(기본) | 5.0(기본, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6.0(기본, .0.405.1, .0.407.1, .0.412.1) | 7.0(기본, .0.370.1, .0.372.1, .0.377.1, .0.389.1, .0.400.1, .395.1) | 7.2(기본, .0.199.1)

마이크로소프트 사무실 2003(기본, SP1, SP2) | 2007(기본, SP1, SP2) | 2010(기본, SP2) | 2013(32비트 버전, 64비트 버전)

윈도우 7 32비트 시스템용 |(x64 기반 시스템)

윈도우 8 32비트 시스템용 |(x64 기반 시스템)

윈도 RT 원래 릴리스

Windows Server 2003 데이터 센터 에디션 | Datacenter Edition, 64비트(Itanium) | Datacenter Edition x64(AMD/EM64T) | 엔터프라이즈 에디션 | Enterprise Edition, 64비트(Itanium) | Enterprise Edition x64(AMD/EM64T) | Standard 버전 | Standard Edition, 64비트(Itanium) | Standard Edition x64(AMD/EM64T) | 웹 에디션

Windows Server 2008 데이터 센터 에디션 | Datacenter Edition, 64비트 | Itanium-Based Systems 버전 | 엔터프라이즈 에디션 | Enterprise Edition, 64비트 | Essential Business Server 표준 | Essential Business Server 프리미엄 | Essential Business Server Premium, 64비트 | Standard 버전 | Standard Edition, 64비트 | 웹 서버 | 웹 서버, 64비트

Windows Server 2008 R2 x64-Based Systems 버전 | Itanium-Based Systems 버전

Windows Server 2012 원래 릴리스

Windows Vista 홈 베이직 | 홈 프리미엄 | 비즈니스 | 엔터프라이즈 | Ultimate | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultimate x64 Edition

법적 고지 사항

이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO는 언제든지 알림을 변경하거나 업데이트할 수 있는 권리를 보유합니다.

배포 URL을 생략하는 이 문서의 텍스트를 독립 실행형으로 복사하거나 패러프레이즈는 관리되지 않는 복사본이며 중요한 정보가 없거나 사실 오류가 있을 수 있습니다. 이 문서의 정보는 Cisco 제품의 최종 사용자를 대상으로 합니다

버전	설명	날짜
4	Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 24일부터 IPS 서명에 사용할 수 있습니다.	2013년 9월 25일 17:25(GMT)
3	Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 17일부터 IPS 서명에 사용할 수 있습니다.	2013년 9월 18일 17:25(GMT)
2	Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2013년 9월 12일부터 IPS 서명에 사용할 수 있습니다.	2013년 9월 13일 17:12(GMT)
1	Cisco Applied Mitigation Bulletin 최초 공개	2013년 9월 10일 17:21(GMT)

기본 제품
마이크로소프트	액세스	2007(기본) \| 2010(32비트 에디션, 64비트 에디션, 32비트 에디션 SP1, 64비트 에디션 SP1, 32비트 에디션 SP2, 64비트 에디션 SP2) \| 2013(32비트 버전, 64비트 버전)
	엑셀	2003(기본, SP1, SP2, SP3) \| 2007(기본, SP1, SP2, SP3) \| 2010(32비트 버전) (Base, SP1) \| 2010(64비트 버전) (Base, SP1) \| 2013(32비트 버전)(기본) \| 2013(64비트 버전)(기본) \| 2013 RT(기본)
	Exchange 서버	2007(기본, SP1, SP2, SP3) \| 2010(기본, SP1, SP2, SP3) \| 2013(기본, CU1, CU2, CU3)
	1면 페이지	2003(기본)
	인터넷 탐색기	6.0(기본) \| 7.0(기본) \| 8.0(기본) \| 9.0(기본) \| 10.0(기본)
	Microsoft Office Compatibility Pack for Word, Excel 및 PowerPoint 2007 파일 형식	원래 릴리스(기본, SP1, SP2, SP3)
	Microsoft Office Word 뷰어	2003(기본, SP1, SP2, SP3)
	사무실	2003년(SP3) \| 2007(SP3) \| 2010(SP1)
	Mac용 Office	2011년(기본)
	Office SharePoint Server	2007년(SP3) \| 2007 x64 Edition(SP3) \| 2010(SP1, SP2) \| 2013(기본)
	아웃룩	2007년(SP3) \| 2010(SP1, SP2)
	SharePoint 포털 서버	2003년(SP3)
	윈도우 7	32비트 시스템(Base, SP1) \| x64 기반 시스템(Base, SP1)
	윈도우 8	32비트 시스템용(기본) \|(x64 기반 시스템)(기본)
	윈도 RT	원래 릴리스(기본)
	Windows Server 2003	Datacenter Edition(기본, SP1, SP2) \| Datacenter Edition, 64비트(Itanium)(Base, SP1, SP2) \| Datacenter Edition x64(AMD/EM64T)(기본, SP1, SP2) \| Enterprise Edition(기본, SP1, SP2) \| Enterprise Edition, 64비트(Itanium)(Base, SP1, SP2) \| Enterprise Edition x64(AMD/EM64T)(기본, SP1, SP2) \| Standard Edition(Base, SP1, SP2) \| Standard Edition, 64비트(Itanium)(Base, SP1, SP2) \| Standard Edition x64(AMD/EM64T)(기본, SP1, SP2) \| Web Edition(기본, SP1, SP2)
	Windows Server 2008	Datacenter Edition(기본, SP1, SP2) \| Datacenter Edition, 64비트(Base, SP1, SP2) \| Itanium-Based Systems Edition(Base, SP1, SP2) \| Enterprise Edition(기본, SP1, SP2) \| Enterprise Edition, 64비트(Base, SP1, SP2) \| Essential Business Server Standard(기본, SP1, SP2) \| Essential Business Server Premium(기본, SP1, SP2) \| Essential Business Server Premium, 64비트(기본, SP1, SP2) \| Standard Edition(Base, SP1, SP2) \| Standard Edition, 64비트(Base, SP1, SP2) \| 웹 서버(기본, SP1, SP2) \| 웹 서버, 64비트(Base, SP1, SP2)
	Windows Server 2008 R2	x64-Based Systems Edition(Base, SP1) \| Itanium-Based Systems Edition(Base, SP1)
	Windows Server 2012	원래 릴리스(기본)
	Windows SharePoint Services	2.0(기본, SP1, SP2, SP3) \| 3.0(SP3)
	Windows Vista	Home Basic(기본, SP1, SP2) \| 홈 프리미엄(기본, SP1, SP2) \| 비즈니스(기본, SP1, SP2) \| 엔터프라이즈(기본, SP1, SP2) \| Ultimate(기본, SP1, SP2) \| Home Basic x64 Edition(기본, SP1, SP2) \| Home Premium x64 Edition(기본, SP1, SP2) \| Business x64 Edition(기본, SP1, SP2) \| Enterprise x64 Edition(기본, SP1, SP2) \| Ultimate x64 Edition(기본, SP1, SP2)
	단어	2003년(SP3) \| 2007(SP3) \| 2010(32비트 Edition, 64비트 Edition, SP1, SP2)
	Word 뷰어	2007(기본)
	SharePoint 기반	2010년(SP1, SP2) \| 2013(기본)
	Microsoft 병음 IME	2010년(기본)

관련 제품
Cisco	Cisco 광대역 문제 해결사	원래 릴리스(기본) \| 3.1(기본) \| 3.2(기본)
	Cisco BBSM(Building Broadband Service Manager)	원래 릴리스(기본) \| 2.5 (.1) \| 3.0(기본) \| 4.0(기본, .1) \| 4.2(기본) \| 4.3(기본) \| 4.4(기본) \| 4.5(기본) \| 5.0(기본) \| 5.1(기본) \| 5.2(기본)
	Cisco CNS 네트워크 등록자	2.5(기본) \| 3.0(기본) \| 3.5(기본, .1) \| 5.0(기본) \| 5.5(기본, 0.13) \| 6.0(.5, .5.2, .5.3, .5.4) \| 6.1(기본, .1, .1.1, .1.2, .1.3, .1.4)
	Cisco Collaboration Server DCA(Dynamic Content Adapter)	원래 릴리스(기본) \| 1.0(기본) \| 2.0(기본, (1)_SR2)
	Cisco CTI(Computer Telephony Integration) 옵션	4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) \| 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) \| 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) \| 7.0 ((0)_SR1, (0)_SR2) \| 7.1 (2), (3), (4), (5)
	Cisco 컨퍼런스 연결	1.1 ((3), (3)spA) \| 1.2(기본, (1), (2), (2)SR1, (2)SR2)
	Cisco E-mail Manager	원래 릴리스(기본) \| 4.0(기본, .5i, .6) \| 5.0 (Base, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
	Cisco 긴급 응답자	1.1(기본, (3), (4)) \| 1.2 (기본, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) \| 1.3(기본, (1a), (2))
	Cisco ICM(Intelligent Contact Manager)	원래 릴리스(기본) \| 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) \| 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) \| 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) \| 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) \| 7.1 (2), (3), (4), (5)
	Cisco Unified Contact Center	Enterprise Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) \| Express Edition(기본, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1 4.1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) \| Hosted Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
	Cisco Unified IP IVR	2.0(.2) \| 2.1 (.1a, .2, .3) \| 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) \| 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) \| 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) \| 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) \| 4.0 ((1)_SR1, (4)_SR1) \| 4.1 ((1)_SR1) \| 4.5 ((2)_SR1, (2)_SR2) \| 5.0 ((1)_SR1)
	Cisco IP 상호운용성 및 협업 시스템(IPICS)	1.0(1.1)
	Cisco IP 큐 관리자	2.2(기본)
	Cisco IP/VC 3540 Application Server 모듈	3.2(.0.1, .138) \| 3.5(.0.8)
	Cisco IP/VC 3540 Rate Matching Module	3.0(.9)
	Cisco Media Blender	원래 릴리스(기본) \| 3.0(기본) \| 4.0(기본) \| 5.0(기본, (0)_SR1, (0)_SR2)
	Active Directory용 Cisco 네트워킹 서비스	원래 릴리스(기본)
	Cisco Outbound 옵션	원래 릴리스(기본)
	Cisco Personal Assistant	1.0(기본, (1)) \| 1.1(기본) \| 1.3(기본, .1, .2, .3, .4) \| 1.4(기본, .2, .3, .4, .5, .6)
	Cisco Remote Monitoring Suite 옵션	1.0(기본) \| 2.0(기본, (0)_SR1)
	Windows용 Cisco Secure ACS(Access Control Server)	2.6(기본) \| 2.6.3.2(기본) \| 2.6.4(기본) \| 2.6.4.4(기본) \| 3.0(기본) \| 3.0.1(기본) \| 3.0.1.40(기본) \| 3.0.2(기본) \| 3.0.3(기본) \| 3.0.3.6(기본) \| 3.0.4(기본) \| 3.1.1(기본) \| 3.1.1.27(기본) \| 3.1.2(기본) \| 3.2(기본) \| 3.2.1(기본) \| 3.2.3(기본) \| 3.3.1(기본) \| 3.3.2.2(기본) \| 3.3.1.16(기본) \| 3.3.3.11(기본) \| 4.0(기본) \| 4.0.1(기본) \| 4.0.1.27(기본) \| 4.1.1.23(기본)
	Cisco Secure Access Control Server Solution Engine(ACSE)	3.1(기본, 0.1) \| 3.2(기본, .1.20, .2.5, .3) \| 3.3(기본, .1, .1.16, .2.2, .3, .4, .4.12) \| 4.0(기본, .1, .1.42, .1.44, .1.49) \| 4.1(기본, .1.23, .1.23.3, .3, .3.12)
	Cisco Secure URT(User Registration Tool)	원래 릴리스(기본) \| 1.2(기본, .1) \| 2.0(기본, .7, .8) \| 2.5(기본, .1, .2, .3, .4, .5)
	Cisco SN 5420 Storage 라우터	1.1(기본, .3, .4, .5, .7, .8) \| 2.1 (.1, .2)
	Cisco SN 5428-2 Storage 라우터	3.2(.1, .2) \| 3.3(.1, .2) \| 3.4 (.1) \| 3.5(기본, .1, .2, .3, .4)
	Cisco Trailhead	원래 릴리스(기본) \| 4.0(기본)
	Cisco Unified Communications Manager	원래 릴리스(기본) \| 1.0(기본) \| 2.0(기본) \| 3.0(기본) \| 3.0.3(a)(기본) \| 3.1(기본, .1, .2, .3a) \| 3.1(1)(기본) \| 3.1(2)(기본) \| 3.1(2)SR3(기본) \| 3.1(3)(기본) \| 3.1(3)SR2(기본) \| 3.1(3)SR4(기본) \| 3.2(기본) \| 3.2(3)SR3(기본) \| 3.3(기본) \| 3.3(2)SPc(기본) \| 3.3(3)(기본) \| 3.3(3)ES61(기본) \| 3.3(3)SR3(기본) \| 3.3(3)SR4a(기본) \| 3.3(3a)(기본) \| 3.3(4)(기본) \| 3.3(4)ES25(기본) \| 3.3(4)SR2(기본) \| 3.3(4c)(기본) \| 3.3(5)(기본) \| 3.3(5)ES24(기본) \| 3.3(5)SR1(기본) \| 3.3(5)SR1a(기본) \| 3.3(5)SR2(기본) \| 3.3(5)SR2a(기본) \| 3.3(5)SR3(기본) \| 3.3(59)(기본) \| 3.3(61)(기본) \| 3.3(63)(기본) \| 3.3(64)(기본) \| 3.3(65)(기본) \| 3.3(66)(기본) \| 3.3(67.5)(기본) \| 3.3(68.1)(기본) \| 3.3(71.0)(기본) \| 3.3(74.0)(기본) \| 3.3(78)(기본) \| 3.3(76)(기본) \| 4.0(.1, .2) \| 4.0(2a)ES40(기본) \| 4.0(2a)ES56(기본) \| 4.0(2a)SR2b(기본) \| 4.0(2a)SR2c(기본) \| 4.1(기본) \| 4.1(2)(기본) \| 4.1(2)ES33(기본) \| 4.1(2)ES50(기본) \| 4.1(2)SR1(기본) \| 4.1(3)(기본) \| 4.1(3)ES(기본) \| 4.1(3)ES07(기본) \| 4.1(3)ES24(기본) \| 4.1(3)SR(기본) \| 4.1(3)SR1(기본) \| 4.1(3)SR2(기본) \| 4.1(3)SR3(기본) \| 4.1(3)SR3b(기본) \| 4.1(3)SR3c(기본) \| 4.1(3)SR4(기본) \| 4.1(3)SR4b(기본) \| 4.1(3)SR4d(기본) \| 4.1(3)SR5(기본) \| 4.1(4)(기본) \| 4.1(9)(기본) \| 4.1(17)(기본) \| 4.1(19)(기본) \| 4.1(22)(기본) \| 4.1(23)(기본) \| 4.1(25)(기본) \| 4.1(26)(기본) \| 4.1(27.7)(기본) \| 4.1(28.2)(기본) \| 4.1(30.4)(기본) \| 4.1(36)(기본) \| 4.1(39)(기본) \| 4.2(1)(기본) \| 4.2(1)SR1b(기본) \| 4.2(1.02)(기본) \| 4.2(1.05.3)(기본) \| 4.2(1.06)(기본) \| 4.2(1.07)(기본) \| 4.2(3)(기본) \| 4.2(3)SR1(기본) \| 4.2(3)SR2(기본) \| 4.2(3.08)(기본) \| 4.2(3.2.3)(기본) \| 4.2(3.3)(기본) \| 4.2(3.13)(기본) \| 4.3(1)(기본) \| 4.3(1)SR(기본) \| 4.3(1.57)(기본)
	Cisco Unified CVP(Customer Voice Portal)	3.0 ((0), (0)SR1, (0)SR2) \| 3.1 ((0), (0)SR1, (0)SR2) \| 4.0 ((0), (1), (1)SR1, (2))
	Cisco Unified 회의실	4.3(기본) \| 5.3(기본) \| 5.2(기본) \| 5.4(기본) \| 6.0(기본)
	Cisco Unified MeetingPlace Express	1.1(기본) \| 1.2(기본) \| 2.0(기본)
	Cisco Unity	원래 릴리스(기본) \| 2.0(기본) \| 2.1(기본) \| 2.2(기본) \| 2.3(기본) \| 2.4(기본) \| 2.46(기본) \| 3.0(기본, .1) \| 3.1(기본, .2, .3, .5, .6) \| 3.2(기본) \| 3.3(기본) \| 4.0(기본, .1, .2, .3, .3b, .4, .5) \| 4.1(기본, .1) \| 4.2(기본, .1, .1 ES27) \| 5.0 ((1)) \| 7.0 ((2))
	Cisco Unity Express	1.0.2(기본) \| 1.1.1(기본) \| 1.1.2(기본) \| 2.0.1(기본) \| 2.0.2(기본) \| 2.1.1(기본) \| 2.1.2(기본) \| 2.1.3(기본) \| 2.2.0(기본) \| 2.2.1(기본) \| 2.2.2(기본) \| 2.3.0(기본) \| 2.3.1(기본)
	Cisco WCS(Wireless Control System) 소프트웨어	1.0(기본) \| 2.0(기본, 44.14, 44.24) \| 2.2 (.0, .111.0) \| 3.0(기본, .101.0, .105.0) \| 3.1(기본, .20.0, .33.0, .35.0) \| 3.2(기본, .23.0, .25.0, .40.0, .51.0, .64.0) \| 4.0(기본, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) \| 4.1(기본, .83.0)
	CiscoWorks IP 텔레포니 환경 모니터(항목)	1.3(기본) \| 1.4(기본) \| 2.0(기본)
	CiscoWorks LMS(LAN Management Solution)	1.3(기본) \| 2.2(기본) \| 2.5(기본) \| 2.6(기본)
	CiscoWorks QPM(QoS Policy Manager)	2.0(기본, .1, .2, .3) \| 2.1 (.2) \| 3.0(기본, .1) \| 3.1(기본) \| 3.2(기본, .1, .2, .3)
	CiscoWorks RWAN(Routed WAN Management Solution)	1.0(기본) \| 1.1(기본) \| 1.2(기본) \| 1.3(기본, .1)
	CiscoWorks SNMS(Small Network Management Solution)	1.0(기본) \| 1.5(기본)
	CiscoWorks VPN/VMS(Security Management Solution)	1.0(기본) \| 2.0(기본) \| 2.1(기본) \| 2.2(기본) \| 2.3(기본)
	Cisco Collaboration 서버	3.0(기본) \| 3.01(기본) \| 3.02(기본) \| 4.0(기본) \| 5.0(기본)
	Cisco DOCSIS CPE Configurator	1.0(기본) \| 1.1(기본) \| 2.0(기본)
	Cisco Unified IP IVR(Interactive Voice Response)	2.0(기본) \| 2.1(기본)
	Cisco SCE(Service Control Engine)	3.0(기본) \| 3.1(기본)
	Cisco 전송 관리자	원래 릴리스(기본) \| 2.0(기본) \| 2.1(기본) \| 2.2(기본, .1) \| 3.0(기본, .1, .2) \| 3.1(기본) \| 3.2(기본) \| 4.0(기본) \| 4.1(기본, .4, .6, .6.6.1) \| 4.6(기본) \| 4.7(기본) \| 5.0(기본, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) \| 6.0(기본, .0.405.1, .0.407.1, .0.412.1) \| 7.0(기본, .0.370.1, .0.372.1, .0.377.1, .0.389.1, .0.400.1, .395.1) \| 7.2(기본, .0.199.1)
마이크로소프트	사무실	2003(기본, SP1, SP2) \| 2007(기본, SP1, SP2) \| 2010(기본, SP2) \| 2013(32비트 버전, 64비트 버전)
	윈도우 7	32비트 시스템용 \|(x64 기반 시스템)
	윈도우 8	32비트 시스템용 \|(x64 기반 시스템)
	윈도 RT	원래 릴리스
	Windows Server 2003	데이터 센터 에디션 \| Datacenter Edition, 64비트(Itanium) \| Datacenter Edition x64(AMD/EM64T) \| 엔터프라이즈 에디션 \| Enterprise Edition, 64비트(Itanium) \| Enterprise Edition x64(AMD/EM64T) \| Standard 버전 \| Standard Edition, 64비트(Itanium) \| Standard Edition x64(AMD/EM64T) \| 웹 에디션
	Windows Server 2008	데이터 센터 에디션 \| Datacenter Edition, 64비트 \| Itanium-Based Systems 버전 \| 엔터프라이즈 에디션 \| Enterprise Edition, 64비트 \| Essential Business Server 표준 \| Essential Business Server 프리미엄 \| Essential Business Server Premium, 64비트 \| Standard 버전 \| Standard Edition, 64비트 \| 웹 서버 \| 웹 서버, 64비트
	Windows Server 2008 R2	x64-Based Systems 버전 \| Itanium-Based Systems 버전
	Windows Server 2012	원래 릴리스
	Windows Vista	홈 베이직 \| 홈 프리미엄 \| 비즈니스 \| 엔터프라이즈 \| Ultimate \| Home Basic x64 Edition \| Home Premium x64 Edition \| Business x64 Edition \| Enterprise x64 Edition \| Ultimate x64 Edition