Cisco Applied Mitigation 게시판-
Microsoft는 3월 10일 월별 보안 게시판 릴리스의 일부로 44개의 취약점을 해결하는 14개의 보안 게시판을 발표했습니다. 이러한 게시판의 요약은 Microsoft 웹 사이트(http://technet.microsoft.com/en-us/security/bulletin/ms15-mar)에 있습니다. 이 문서에서는 관리자가 Cisco 네트워크 장치에 배포할 수 있는 식별 및 완화 기술을 제공합니다.
클라이언트 소프트웨어 공격 벡터가 있고, 취약한 디바이스에서 로컬로 악용될 수 있으며, 사용자 상호 작용이 필요하며, 웹 기반 공격(교차 사이트 스크립팅, 피싱, 웹 기반 이메일 위협 포함, 이에 제한되지 않음) 또는 이메일 첨부 파일을 사용하여 악용할 수 있으며, 네트워크 공유에 저장된 파일은 다음 목록에 있습니다.
- MS15-018
- MS15-019
- MS15-020
- 2011년 15월
- MS15-02
- MS15-023
- MS15-024
- 2015년 1월
- MS15-026
- MS15-027
- MS15-028
- MS15-029
- 15-030
- MS15-031
네트워크 차단 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 네트워크 공격 벡터가 있는 취약성에 대한 여러 가지 대응 방법을 제공하며, 이에 대해서는 이 문서의 뒷부분에서 자세히 설명합니다.
또한 여러 Cisco 제품이 Microsoft 운영 체제를 기본 운영 체제로 사용하고 있습니다. 참조된 Microsoft 권고에 설명된 취약성의 영향을 받을 수 있는 Cisco 제품은 "제품 세트" 섹션의 "관련 제품" 테이블에 자세히 설명되어 있습니다.
-
MS15-030, Vulnerability in Remote Desktop Protocol Can Allow Denial of Service (3039976): 이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2015-0079가 할당되었습니다. 이 취약성은 인증 없이, 사용자 상호 작용 없이 원격으로 악용될 수 있습니다.
취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 익스플로잇을 위한 공격 벡터는 TCP 및 UDP 포트 3389를 사용하여 작성된 RDP 패킷을 통해 이루어집니다.
-
취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 2015년 3월 Microsoft Security Bulletin Summary에서 확인할 수 있습니다. Microsoft Security Bulletin Summary는 다음 링크에서 확인할 수 있습니다. http://technet.microsoft.com/en-us/security/bulletin/ms15-mar
-
완화 기법 개요
클라이언트 소프트웨어 공격 벡터가 있거나 취약한 디바이스에서 로컬로 악용될 수 있거나 사용자 상호 작용이 필요하거나 웹 기반 공격(교차 사이트 스크립팅, 피싱 및 웹 기반 이메일 위협을 포함하되 이에 제한되지 않음), 이메일 첨부 파일 또는 네트워크 공유에 저장된 파일을 사용하여 악용될 수 있는 취약성은 다음과 같습니다.
- MS15-018
- MS15-019
- MS15-020
- 2011년 15월
- MS15-02
- MS15-023
- MS15-024
- 2015년 1월
- MS15-026
- MS15-027
- MS15-028
- MS15-029
- 15-030
- MS15-031
이러한 취약점은 소프트웨어 업데이트, 사용자 교육, 데스크톱 관리 모범 사례, HIPS(Host Intrusion Prevention Systems) 또는 안티바이러스 제품과 같은 엔드포인트 보호 소프트웨어를 통해 엔드포인트에서 가장 성공적으로 완화됩니다.
웹 및 이메일 보안 문제를 포함하여 네트워크를 완화하는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
Cisco IOS Software는 다음 방법을 사용하여 익스플로잇 방지 및 익스플로잇 식별의 효과적인 수단을 제공할 수 있습니다.
- 트랜짓 액세스 제어 목록(tACL)
- uRPF(유니캐스트 역방향 경로 전달)
- IP 소스 가드(IPSG)
이러한 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷의 소스 IP 주소를 필터링 및 삭제하고 검증합니다.
uRPF의 적절한 구축 및 컨피그레이션은 스푸핑된 소스 IP 주소가 있는 패킷을 사용하는 공격에 대한 효과적인 보호 수단을 제공합니다. 유니캐스트 RPF는 가능한 한 모든 트래픽 소스에 가깝게 구축해야 합니다.
IPSG의 적절한 구축 및 컨피그레이션은 액세스 레이어에서 스푸핑된 패킷에 대한 효과적인 보호 수단을 제공합니다.
Cisco ASA 5500 및 5500-X Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 FWSM(Firewall Services Module)에서도 다음과 같은 방법으로 효과적인 익스플로잇 방지 및 익스플로잇 식별 수단을 제공할 수 있습니다.
- tACL
- uRPF
이러한 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
Cisco IOS NetFlow 및 Flexible NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.
Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공할 수 있습니다.
-
조직은 표준 위험 평가 및 완화 프로세스를 준수하여 이러한 취약성의 잠재적인 영향을 확인하는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.
-
주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.
Cisco IOS 라우터 및 스위치
완화: 통과 액세스 제어 목록
MS15-030의 경우, 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control lists)을 배포하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이 취약성에 대한 완벽한 보호를 제공할 수 없습니다. tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 3389 및 UDP 포트 3389의 무단 IPv4 및 IPv6 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타냅니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다. tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3389 access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3389 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3389 access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 3389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3389 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3389 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 3389 deny udp any 2001:DB8:1:60::/64 eq 3389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any any ! ! !-- Apply tACLs to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy in
인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 인터페이스 컨피그레이션 명령 no ip unreachable 및 no ipv6 unreachable을 사용하여 비활성화할 수 있습니다. ICMP unreachable rate limiting은 ip icmp rate-limit unreachable interval-in-mand ipv6 icmp error-interval interval-in-ms 전역 컨피그레이션 명령을 사용하여 기본값에서 변경할 수 있습니다.
Cisco IOS 명령줄 인터페이스를 사용하여 tACL의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security 백서 Identifying the Effectiveness of Security Mitigating of Security Mitigating Using Cisco IOS Software를 참조하십시오.
완화: 스푸핑 보호
유니캐스트 역방향 경로 전달
이 문서에 설명된 MS15-030에는 스푸핑된 IP 패킷으로 악용될 수 있는 네트워크 공격 벡터가 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF(Unicast Reverse Path Forwarding)를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 uRPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 사용자 지원 레이어 3 인터페이스의 인터넷 에지 및 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
uRPF 구성 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations 백서를 참조하십시오.
IP Source Guard
IPSG(IP source guard)는 DHCP 스누핑 바인딩 데이터베이스 및 수동으로 구성된 IP 소스 바인딩을 기반으로 패킷을 필터링하여 라우팅되지 않은 레이어 2 인터페이스의 IP 트래픽을 제한하는 보안 기능입니다. 관리자는 IPSG를 사용하여 소스 IP 주소 및/또는 MAC 주소를 위조하여 패킷을 스푸핑하려고 시도하는 공격자의 공격을 방지할 수 있습니다. IPSG를 적절하게 구축하고 구성하면 엄격한 모드 uRPF와 결합하여 이 문서에 설명된 취약성에 대한 가장 효과적인 스푸핑 보호 수단을 제공합니다.
IPSG 구축 및 컨피그레이션에 대한 추가 정보는 DHCP 기능 및 IP 소스 가드 구성에 있습니다.
식별: Cisco IOS NetFlow를 사용한 IPv4 및 IPv6 트래픽 흐름 식별
관리자는 Cisco IOS 라우터 및 스위치에 Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow를 구성하여 이 취약성을 악용하려는 시도일 수 있는 IPv4 및 IPv6 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다. 또한 관리자는 개별 포트의 트래픽을 강조 표시하도록 필터를 구성하여 이 문서에서 언급한 취약성을 악용하려는 시도일 수 있는 트래픽 흐름을 식별할 수 있습니다. 자세한 내용은 Cisco IOS Software를 사용한 보안 완화의 효과 확인 백서의 Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow 섹션을 참조하십시오.Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
완화: 통과 액세스 제어 목록
MS15-030의 경우, 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이 취약성에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 3389 및 UDP 포트 3389의 무단 IPv4 및 IPv6 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.
tACL에 대한 자세한 내용은 Transit Access Control Lists: Filtering at Your Edge를 참조하십시오.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP and UDP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3389 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3389 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3389 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 3389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 255.255.255.0 ! ! !-- Create the corresponding IPv6 tACL ! ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3389 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3389 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 3389 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 3389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations ! ! !-- Explicit deny for all other IPv6 traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside
Cisco 방화벽 명령줄 인터페이스를 사용하여 tACL의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.
Cisco ASA Software Release 9.0부터 ACL(즉, 통합 ACL)은 IPv4 및 IPv6 주소를 지원합니다. ACL의 소스 및 대상에 대해 IPv4 주소와 IPv6 주소를 혼합하여 지정할 수 있습니다. any4 및 any6 키워드는 각각 IPv4 전용 및 IPv6 전용 트래픽을 나타내기 위해 추가되었습니다.
이 섹션의 IPv4 및 IPv6 ACL에 있는 IPv4 및 IPv6 ACE(Access List Entry)도 하나의 통합 ACL에 통합될 수 있습니다.
통합 ACL에 대한 자세한 내용은 Cisco ASA 컨피그레이션 가이드의 확장 액세스 목록 추가 섹션을 참조하십시오.
완화: 유니캐스트 역방향 경로 전달을 사용한 스푸핑 보호
MS15-030의 경우, 스푸핑된 IP 패킷으로 악용될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 엔터프라이즈 환경에서는 인터넷 에지와 사용자 지원 레이어 3 인터페이스의 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
uRPF의 컨피그레이션 및 사용에 대한 자세한 내용은 ip verify reverse-path에 대한 Cisco Security Appliance Command Reference 및 Understanding Unicast Reverse Path Forwarding Cisco Security 백서를 참조하십시오.
방화벽 명령줄 인터페이스를 사용하여 스푸핑 보호의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.
Cisco 침입 방지 시스템
완화: Cisco IPS 서명 이벤트 작업
관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 여러 취약점을 악용하려는 시도를 방지할 수 있습니다. 다음 표에는 CVE 식별자 및 이러한 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 해당 Cisco IPS 시그니처의 개요가 나와 있습니다.
CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도* CVE-2015-0072 S851 4987-0 Microsoft Internet Explorer 동일 원본 정책 우회 예 높음 70 CVE-2015-0087 S856 5193-0 Adobe Font Driver 정보 공개 취약성 예 중간 80 CVE-2015-0089 S855 5398-0 Adobe Font Driver 정보 공개 취약성 예 높음 85 CVE-2015-0090 S855 5387-0 Adobe Font Driver 정보 공개 취약성 예 높음 85 CVE-2015-0091 S855 5415-0 Adobe Font Driver 정보 공개 취약성 예 높음 85 CVE-2015-0032 S855 5542-0 Microsoft Internet Explorer VBScript 메모리 손상 예 높음 85 CVE-2015-0099 S855 5563-0 Microsoft Internet Explorer 메모리 손상 예 높음 85 CVE-2015-010 S855 5555-0 Microsoft Internet Explorer 메모리 손상 예 높음 85 CVE-2015-0093 S856 5470-0 악성 포스트스크립트 글꼴 예 높음 80 CVE-2015-0092 S856 5522-0 악성 포스트스크립트 글꼴 예 높음 80 CVE-2015-0097 S855 5670-0 Microsoft Office 원격 코드 실행 예 높음 85 CVE-2015-0086 S855 5604-0 Microsoft Office 원격 코드 실행 예 높음 85 CVE-2015-0085 S856 5384-0 Microsoft Word 원격 코드 실행 예 높음 85 * Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.
관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하도록 합니다.
스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업으로 인해 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.
Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x 및 6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.
위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
Cisco Security Manager를 사용하여 Cisco IPS 센서의 활동을 보는 방법에 대한 자세한 내용은 Identification of Malicious Traffic Using Cisco Security Manager 백서를 참조하십시오.
Sourcefire 서명 정보
다음 Sourcefire Snort 시그니처는 Microsoft 2015년 3월 보안 업데이트에 사용할 수 있습니다.
Microsoft 권고 사항 ID Microsoft 권고 사항 이름 적용 가능한 규칙 MS15-018 원격 코드 실행으로 이어질 수 있는 Microsoft Internet Explorer 취약성. 1:33287~1:33288, 1:33707~1:33710, 1:33718~1:33721, 1:33726~1:33727, 1:33730~1:33731, 1:33736~1:33739, 1:33741~33744, 1:33763~1:33764 MS25-020 원격 코드 실행으로 이어질 수 있는 Microsoft Windows 셸 1:17042 1:33775~33776 2011년 15월 원격 코드 실행으로 이어질 수 있는 Adobe 글꼴 드라이버입니다. 1:33711~1:33714, 1:33722~1:33725, 1:33728~1:33729, 1:33732~1:33733 MS15-02 권한 에스컬레이션이 발생할 수 있는 Microsoft Office입니다. 1:33705~1:33706, 1:33715~1:33716, 1:33734~1:33735, 1:33808~1:33809. MS15-023 권한 에스컬레이션으로 이어질 수 있는 Microsoft 커널 모드 드라이버입니다. 1:33765~1:33770. MS15-024 정보 공개로 이어질 수 있는 Microsoft PNG 이미지 처리. 1:33760~1:33761. 2015년 1월 권한 에스컬레이션이 발생할 수 있는 Microsoft Windows Kernel입니다. 1:33773~1:33774. MS15-026 권한이 에스컬레이션될 수 있는 Microsoft Exchange Server입니다. 1:33762, 1:33807, 1:33810~1:33811. MS15-027 스푸핑 공격을 허용할 수 있는 Microsoft Netlogon입니다. 1:15453 MS15-028 보안 기능 우회를 허용할 수 있는 Microsoft 작업 스케줄러. 1:33717 MS15-029 정보를 공개하는 Microsoft 그래픽 구성 요소입니다. 1:33771~1:33772. 15-030 DoS(서비스 거부)로 이어질 수 있는 Microsoft 원격 데스크톱 프로토콜입니다. 1:21232 MS15-031 보안 기능 우회를 허용할 수 있는 Microsoft Schannel입니다. 1:33777~1:33806.
Sourcefire Snort 및 Sourcefire Next Generation IPS 사용에 대한 자세한 내용은 Sourcefire Next-Generation Security를 참조하십시오.
-
간단히 표시버전 설명 섹션 날짜 3 이 Applied Mitigation 게시판은 Sourcefire 서명 정보와 함께 업데이트되었습니다. 2015년 3월 16일 20:51(GMT) 2 이 Applied Mitigation Bulletin에는 추가 Cisco IPS 서명 정보가 업데이트되었습니다.
2015년 3월 10일 22:00(GMT) 1 Cisco Applied Mitigation Bulletin 최초 공개 2015년 3월 10일 17:46(GMT)
-
Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.
-
보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
기본 제품 마이크로소프트 엑셀 2007년(SP3) | 2010(32비트 버전) (SP2) | 2010(64비트 버전) (SP2) Exchange 서버 2013년(SP1, CU7) 인터넷 탐색기 6.0(기본) | 7.0(기본) | 8.0(기본) | 9.0(기본) | 10.0(기본) | 11.0(기본) Microsoft Office Compatibility Pack for Word, Excel 및 PowerPoint 2007 파일 형식 원래 릴리스(SP3) Microsoft Office Excel 뷰어 2003(기본, SP1, SP2, SP3) | 2007(기본, SP1, SP2) Microsoft Office Word 뷰어 2003(기본, SP1, SP2, SP3) Microsoft VBScript 5.8(기본) 사무실 2007년(SP3) | 2010(SP2) | 2013(32비트 에디션, 32비트 에디션 서비스 팩 1, 64비트 에디션, 64비트 에디션 서비스 팩 1) | 2013 RT(기본, 서비스 팩 1) Office SharePoint Server 2007년(SP3) | 2007 x64 Edition(SP3) | 2010(SP2) | 2013(기본, SP1) 파워포인트 2007년(SP3) | 2010(SP2) 윈도우 7 32비트 시스템(SP1) | x64 기반 시스템(SP1) 윈도우 8 32비트 시스템용(기본) |(x64 기반 시스템)(기본) Windows 8.1 32비트 시스템용(기본) |(x64 기반 시스템)(기본) 윈도 RT 원래 릴리스(기본) | 8.1(기본) Windows Server 2003 Datacenter Edition(SP2) | Datacenter Edition, 64비트(Itanium)(SP2) | Datacenter Edition x64(AMD/EM64T) (SP2) | Enterprise Edition(SP2) | Enterprise Edition, 64비트(Itanium)(SP2) | Enterprise Edition x64(AMD/EM64T) (SP2) | Standard Edition(SP2) | Standard Edition, 64비트(Itanium)(SP2) | Standard Edition x64(AMD/EM64T) (SP2) | Web Edition(SP2) Windows Server 2008 Datacenter Edition(SP2) | Datacenter Edition, 64비트(SP2) | Itanium-Based Systems Edition(SP2) | Enterprise Edition(SP2) | Enterprise Edition, 64비트(SP2) | Essential Business Server Standard(SP2) | Essential Business Server Premium(SP2) | Essential Business Server Premium, 64비트(SP2) | Standard Edition(SP2) | Standard Edition, 64비트(SP2) | 웹 서버(SP2) | 웹 서버, 64비트(SP2) Windows Server 2008 R2 x64-Based Systems Edition(SP1) | Itanium-Based Systems Edition(SP1) Windows Server 2012 원래 릴리스(기본) Windows Server 2012 R2 원래 릴리스(기본) Windows SharePoint Services 3.0(SP3) Windows Vista Home Basic(SP2) | 홈 프리미엄(SP2) | 비즈니스(SP2) | 엔터프라이즈(SP2) | Ultimate(SP2) | Home Basic x64 Edition(SP2) | Home Premium x64 Edition(SP2) | Business x64 Edition(SP2) | Enterprise x64 Edition(SP2) | Ultimate x64 Edition(SP2) 단어 2007년(SP3) | 2010(SP2) | 2013(Base, RT, 32비트 에디션, 64비트 에디션, SP1) SharePoint 기반 2010년(SP2) | 2013(기본, SP1) Office 웹 앱 2010년(SP2) | 2013(기본, SP1) Word 자동화 서비스 2010년(기본) | 2013(기본)
관련 제품 Cisco Cisco 광대역 문제 해결사 원래 릴리스(기본) | 3.1(기본) | 3.2(기본) Cisco BBSM(Building Broadband Service Manager) 원래 릴리스(기본) | 2.5 (.1) | 3.0(기본) | 4.0(기본, .1) | 4.2(기본) | 4.3(기본) | 4.4(기본) | 4.5(기본) | 5.0(기본) | 5.1(기본) | 5.2(기본) Cisco CNS 네트워크 등록자 2.5(기본) | 3.0(기본) | 3.5(기본, .1) | 5.0(기본) | 5.5(기본, 0.13) | 6.0(.5, .5.2, .5.3, .5.4) | 6.1(기본, .1, .1.1, .1.2, .1.3, .1.4) Cisco Collaboration Server DCA(Dynamic Content Adapter) 원래 릴리스(기본) | 1.0(기본) | 2.0(기본, (1)_SR2) Cisco CTI(Computer Telephony Integration) 옵션 4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) | 7.0 ((0)_SR1, (0)_SR2) | 7.1 (2), (3), (4), (5) Cisco 컨퍼런스 연결 1.1 ((3), (3)spA) | 1.2(기본, (1), (2), (2)SR1, (2)SR2) Cisco E-mail Manager 원래 릴리스(기본) | 4.0(기본, .5i, .6) | 5.0 (Base, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7) Cisco 긴급 응답자 1.1(기본, (3), (4)) | 1.2 (기본, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) | 1.3(기본, (1a), (2)) Cisco ICM(Intelligent Contact Manager) 원래 릴리스(기본) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) | 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 7.1 (2), (3), (4), (5) Cisco Unified Contact Center Enterprise Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition(기본, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1 4.1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) | Hosted Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) Cisco Unified IP IVR 2.0(.2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4.0 ((1)_SR1, (4)_SR1) | 4.1 ((1)_SR1) | 4.5 ((2)_SR1, (2)_SR2) | 5.0 ((1)_SR1) Cisco IP 상호운용성 및 협업 시스템(IPICS) 1.0(1.1) Cisco IP 큐 관리자 2.2(기본) Cisco IP/VC 3540 Application Server 모듈 3.2(.0.1, .138) | 3.5(.0.8) Cisco IP/VC 3540 Rate Matching Module 3.0(.9) Cisco Media Blender 원래 릴리스(기본) | 3.0(기본) | 4.0(기본) | 5.0(기본, (0)_SR1, (0)_SR2) Active Directory용 Cisco 네트워킹 서비스 원래 릴리스(기본) Cisco Outbound 옵션 원래 릴리스(기본) Cisco Personal Assistant 1.0(기본, (1)) | 1.1(기본) | 1.3(기본, .1, .2, .3, .4) | 1.4(기본, .2, .3, .4, .5, .6) Cisco Remote Monitoring Suite 옵션 1.0(기본) | 2.0(기본, (0)_SR1) Windows용 Cisco Secure ACS(Access Control Server) 2.6(기본) | 2.6.3.2(기본) | 2.6.4(기본) | 2.6.4.4(기본) | 3.0(기본) | 3.0.1(기본) | 3.0.1.40(기본) | 3.0.2(기본) | 3.0.3(기본) | 3.0.3.6(기본) | 3.0.4(기본) | 3.1.1(기본) | 3.1.1.27(기본) | 3.1.2(기본) | 3.2(기본) | 3.2.1(기본) | 3.2.3(기본) | 3.3.1(기본) | 3.3.2.2(기본) | 3.3.1.16(기본) | 3.3.3.11(기본) | 4.0(기본) | 4.0.1(기본) | 4.0.1.27(기본) | 4.1.1.23(기본) Cisco Secure Access Control Server Solution Engine(ACSE) 3.1(기본, 0.1) | 3.2(기본, .1.20, .2.5, .3) | 3.3(기본, .1, .1.16, .2.2, .3, .4, .4.12) | 4.0(기본, .1, .1.42, .1.44, .1.49) | 4.1(기본, .1.23, .1.23.3, .3, .3.12) Cisco Secure URT(User Registration Tool) 원래 릴리스(기본) | 1.2(기본, .1) | 2.0(기본, .7, .8) | 2.5(기본, .1, .2, .3, .4, .5) Cisco SN 5420 Storage 라우터 1.1(기본, .3, .4, .5, .7, .8) | 2.1 (.1, .2) Cisco SN 5428-2 Storage 라우터 3.2(.1, .2) | 3.3(.1, .2) | 3.4 (.1) | 3.5(기본, .1, .2, .3, .4) Cisco Trailhead 원래 릴리스(기본) | 4.0(기본) Cisco Unified Communications Manager 원래 릴리스(기본) | 1.0(기본) | 2.0(기본) | 3.0(기본) | 3.0.3(a)(기본) | 3.1(기본, .1, .2, .3a) | 3.1(1)(기본) | 3.1(2)(기본) | 3.1(2)SR3(기본) | 3.1(3)(기본) | 3.1(3)SR2(기본) | 3.1(3)SR4(기본) | 3.2(기본) | 3.2(3)SR3(기본) | 3.3(기본) | 3.3(2)SPc(기본) | 3.3(3)(기본) | 3.3(3)ES61(기본) | 3.3(3)SR3(기본) | 3.3(3)SR4a(기본) | 3.3(3a)(기본) | 3.3(4)(기본) | 3.3(4)ES25(기본) | 3.3(4)SR2(기본) | 3.3(4c)(기본) | 3.3(5)(기본) | 3.3(5)ES24(기본) | 3.3(5)SR1(기본) | 3.3(5)SR1a(기본) | 3.3(5)SR2(기본) | 3.3(5)SR2a(기본) | 3.3(5)SR3(기본) | 3.3(59)(기본) | 3.3(61)(기본) | 3.3(63)(기본) | 3.3(64)(기본) | 3.3(65)(기본) | 3.3(66)(기본) | 3.3(67.5)(기본) | 3.3(68.1)(기본) | 3.3(71.0)(기본) | 3.3(74.0)(기본) | 3.3(78)(기본) | 3.3(76)(기본) | 4.0(.1, .2) | 4.0(2a)ES40(기본) | 4.0(2a)ES56(기본) | 4.0(2a)SR2b(기본) | 4.0(2a)SR2c(기본) | 4.1(기본) | 4.1(2)(기본) | 4.1(2)ES33(기본) | 4.1(2)ES50(기본) | 4.1(2)SR1(기본) | 4.1(3)(기본) | 4.1(3)ES(기본) | 4.1(3)ES07(기본) | 4.1(3)ES24(기본) | 4.1(3)SR(기본) | 4.1(3)SR1(기본) | 4.1(3)SR2(기본) | 4.1(3)SR3(기본) | 4.1(3)SR3b(기본) | 4.1(3)SR3c(기본) | 4.1(3)SR4(기본) | 4.1(3)SR4b(기본) | 4.1(3)SR4d(기본) | 4.1(3)SR5(기본) | 4.1(4)(기본) | 4.1(9)(기본) | 4.1(17)(기본) | 4.1(19)(기본) | 4.1(22)(기본) | 4.1(23)(기본) | 4.1(25)(기본) | 4.1(26)(기본) | 4.1(27.7)(기본) | 4.1(28.2)(기본) | 4.1(30.4)(기본) | 4.1(36)(기본) | 4.1(39)(기본) | 4.2(1)(기본) | 4.2(1)SR1b(기본) | 4.2(1.02)(기본) | 4.2(1.05.3)(기본) | 4.2(1.06)(기본) | 4.2(1.07)(기본) | 4.2(3)(기본) | 4.2(3)SR1(기본) | 4.2(3)SR2(기본) | 4.2(3.08)(기본) | 4.2(3.2.3)(기본) | 4.2(3.3)(기본) | 4.2(3.13)(기본) | 4.3(1)(기본) | 4.3(1)SR(기본) | 4.3(1.57)(기본) Cisco Unified CVP(Customer Voice Portal) 3.0 ((0), (0)SR1, (0)SR2) | 3.1 ((0), (0)SR1, (0)SR2) | 4.0 ((0), (1), (1)SR1, (2)) Cisco Unified 회의실 4.3(기본) | 5.3(기본) | 5.2(기본) | 5.4(기본) | 6.0(기본) Cisco Unified MeetingPlace Express 1.1(기본) | 1.2(기본) | 2.0(기본) Cisco Unity 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본) | 2.4(기본) | 2.46(기본) | 3.0(기본, .1) | 3.1(기본, .2, .3, .5, .6) | 3.2(기본) | 3.3(기본) | 4.0(기본, .1, .2, .3, .3b, .4, .5) | 4.1(기본, .1) | 4.2(기본, .1, .1 ES27) | 5.0 ((1)) | 7.0 ((2)) Cisco Unity Express 1.0.2(기본) | 1.1.1(기본) | 1.1.2(기본) | 2.0.1(기본) | 2.0.2(기본) | 2.1.1(기본) | 2.1.2(기본) | 2.1.3(기본) | 2.2.0(기본) | 2.2.1(기본) | 2.2.2(기본) | 2.3.0(기본) | 2.3.1(기본) Cisco WCS(Wireless Control System) 소프트웨어 1.0(기본) | 2.0(기본, 44.14, 44.24) | 2.2 (.0, .111.0) | 3.0(기본, .101.0, .105.0) | 3.1(기본, .20.0, .33.0, .35.0) | 3.2(기본, .23.0, .25.0, .40.0, .51.0, .64.0) | 4.0(기본, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1(기본, .83.0) CiscoWorks IP 텔레포니 환경 모니터(항목) 1.3(기본) | 1.4(기본) | 2.0(기본) CiscoWorks LMS(LAN Management Solution) 1.3(기본) | 2.2(기본) | 2.5(기본) | 2.6(기본) CiscoWorks QPM(QoS Policy Manager) 2.0(기본, .1, .2, .3) | 2.1 (.2) | 3.0(기본, .1) | 3.1(기본) | 3.2(기본, .1, .2, .3) CiscoWorks RWAN(Routed WAN Management Solution) 1.0(기본) | 1.1(기본) | 1.2(기본) | 1.3(기본, .1) CiscoWorks SNMS(Small Network Management Solution) 1.0(기본) | 1.5(기본) CiscoWorks VPN/VMS(Security Management Solution) 1.0(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본) Cisco Collaboration 서버 3.0(기본) | 3.01(기본) | 3.02(기본) | 4.0(기본) | 5.0(기본) Cisco DOCSIS CPE Configurator 1.0(기본) | 1.1(기본) | 2.0(기본) Cisco Unified IP IVR(Interactive Voice Response) 2.0(기본) | 2.1(기본) Cisco SCE(Service Control Engine) 3.0(기본) | 3.1(기본) Cisco 전송 관리자 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본, .1) | 3.0(기본, .1, .2) | 3.1(기본) | 3.2(기본) | 4.0(기본) | 4.1(기본, .4, .6, .6.6.1) | 4.6(기본) | 4.7(기본) | 5.0(기본, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6.0(기본, .0.405.1, .0.407.1, .0.412.1) | 7.0(기본, .0.370.1, .0.372.1, .0.377.1, .0.389.1, .0.400.1, .395.1) | 7.2(기본, .0.199.1) 마이크로소프트 윈도우 7 32비트 시스템용 |(x64 기반 시스템) 윈도우 8 32비트 시스템용 |(x64 기반 시스템) Windows 8.1 32비트 시스템용 |(x64 기반 시스템) 윈도 RT 원래 릴리스 | 8.1 Windows Server 2003 데이터 센터 에디션 | Datacenter Edition, 64비트(Itanium) | Datacenter Edition x64(AMD/EM64T) | 엔터프라이즈 에디션 | Enterprise Edition, 64비트(Itanium) | Enterprise Edition x64(AMD/EM64T) | Standard 버전 | Standard Edition, 64비트(Itanium) | Standard Edition x64(AMD/EM64T) | 웹 에디션 Windows Server 2008 데이터 센터 에디션 | Datacenter Edition, 64비트 | Itanium-Based Systems 버전 | 엔터프라이즈 에디션 | Enterprise Edition, 64비트 | Essential Business Server 표준 | Essential Business Server 프리미엄 | Essential Business Server Premium, 64비트 | Standard 버전 | Standard Edition, 64비트 | 웹 서버 | 웹 서버, 64비트 Windows Server 2008 R2 x64-Based Systems 버전 | Itanium-Based Systems 버전 Windows Server 2012 원래 릴리스 Windows Server 2012 R2 원래 릴리스 Windows Vista 홈 베이직 | 홈 프리미엄 | 비즈니스 | 엔터프라이즈 | Ultimate | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultimate x64 Edition
-
이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO는 언제든지 알림을 변경하거나 업데이트할 수 있는 권리를 보유합니다.
배포 URL을 생략하는 이 문서의 텍스트를 독립 실행형으로 복사하거나 패러프레이즈는 관리되지 않는 복사본이며 중요한 정보가 없거나 사실 오류가 있을 수 있습니다. 이 문서의 정보는 Cisco 제품의 최종 사용자를 대상으로 합니다