Cisco Response

• Inhoud

  Cisco Response
  Apparaatspecifieke beperking en identificatie
  Aanvullende informatie
  Cisco-beveiligingsprocedures
  Gerelateerde informatie
  Microsoft kondigde 14 veiligheidsbulletins aan die 33 kwetsbaarheden aanpakken als deel van het maandelijkse veiligheidsbulletin van 11 November, 2014. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms14-nov. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
  
  De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mail bedreigingen), e-mailbijlagen, of bestanden die zijn opgeslagen op netwerkaandelen zijn in de volgende lijst:
  

  • MS14-064
  • MS14-065.
  • MS14-06
  • MS14-067
  • MS14-069.
  • MS14-070.
  • MS14-071
  • MS14-072
  • MS14-073
  • MS14-074
  • MS14-076
  • MS14-07
  • MS14-078
  • MS14-079.

  De kwetsbaarheden die een netwerkmatiging, met inbegrip van Web en e-mailveiligheidskwesties hebben, zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheden van een netwerkaanvalsvector, die later in dit document in detail wordt besproken.
  

  • MS14-067
  • MS14-079.

Kwetsbaarheid Kenmerken

• MS14-067, Kwetsbaarheid in XML-kerndiensten zou kunnen toestaan op afstand code uitvoering (2993958): Deze kwetsbaarheid is toegewezen gemeenschappelijke kwetsbaarheid en blootstellingen (CVE) identificatie CVE-2014-4118. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Als deze kwetsbaarheid met succes wordt benut, kan willekeurige code worden uitgevoerd. De aanvalsvector voor de exploitatie van deze kwetsbaarheid is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en poort 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.
  
  De Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, de Cisco Web en E-mail security applicaties en Cisco Cloud Web Security bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren. Zie voor informatie over configuratie en gebruik het artikel Cisco Security met de titel Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection.
  
  De Cisco ACE-applicatie en module voor Application Control Engine bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren. Zie voor configuratie- en gebruiksinformatie het artikel Cisco Security met de Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection.
  
  MS14-079, Vulnerability in Kernel-mode driver kon ontkenning van de dienst toestaan (3002885): Deze kwetsbaarheid is toegewezen gemeenschappelijke kwetsbaarheid en blootstellingen (CVE) identificatiecode CVE-2014-6317. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service-omstandigheid (DoS). De aanvalsvector voor de exploitatie van deze kwetsbaarheid is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en poort 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.
  

Overzicht van kwetsbaarheden

• Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden genoemd in Cisco Event Response: Microsoft Security Bulletin release voor november 2014.
  
  Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".
  

Overzicht Mitigation Technique

• De kwetsbaarheden die een de aanvalsvector hebben van de cliëntsoftware, kunnen plaatselijk op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mailbedreigingen) of e-mailgehechtheid, of de dossiers die op netwerkaandelen worden opgeslagen zijn in de volgende lijst:
  

  • MS14-064
  • MS14-065.
  • MS14-06
  • MS14-067
  • MS14-069.
  • MS14-070.
  • MS14-071
  • MS14-072
  • MS14-073
  • MS14-074
  • MS14-076
  • MS14-07
  • MS14-078
  • MS14-079.

  Deze kwetsbaarheden worden het meest succesvol op het eindpunt verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Host Inbraakpreventiesystemen (HIPS) of antivirusproducten.
  
  De kwetsbaarheden die een netwerkmatiging, met inbegrip van Web en e-mailveiligheidskwesties hebben, zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
  

  • MS14-067
  • MS14-079.

  Effectieve explosiepreventie en explosidentificatie kunnen ook worden geleverd door de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met behulp van Application Layer Protocol inspection.
  
  Dit beschermingsmechanisme filtert, en laat vallen pakketten die proberen om de kwetsbaarheden te exploiteren die een vector van de netwerkaanval hebben.
  
  De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.
  
  Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.
  

Risicobeheer

• Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
  

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
  
  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
  

  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco ACE
  • Cisco-inbraakpreventiesysteem

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  Beperking: Application Layer Protocol Inspectie

  Toepassingslaagprotocolinspectie is beschikbaar vanaf Cisco IOS-softwarerelease 7.2(1) voor de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, IOS-softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA-servicesmodule en in IOS-softwarerelease 4.0(1) voor de Cisco Firewall Services module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast. Toepassingsinspectie inspecteert zowel IPv4- als IPv6-pakketten die op de klassekaart van het beleid zijn afgestemd.

  Aanvullende informatie over Application Layer Protocol inspection en het Modular Policy Framework (MPF) is in de sectie Getting Started with Application Layer Protocol Inspection van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.

  Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

  HTTP-toepassingsinspectie
  Beheerders kunnen de HTTP-inspectieengine gebruiken om MS14-067 en MS14-079 te adresseren op de Cisco ASA 5500 en 5500-X Series adaptieve security applicaties, Cisco 6500 Series ASA servicesmodules en Cisco Firewall Services Module. Beheerders kunnen reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse-kaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals zowel beschreven in dit document, als andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.

  Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Er dient voor te worden gezorgd dat legitieme bedrijfstoepassingen die overeenkomende tekststrings gebruiken zonder de ActiveX-besturing te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.

  Aanvullende informatie over ActiveX maakt gebruik van en beperkt de mogelijkheden van Cisco-firewalltechnologieën die beschikbaar zijn in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection of Cisco Security.

  ! !-- Configure regexes that are associated with these vulnerabilities !-- MS14-067 ActiveX Class ID: !-- "f5078f39-c551-11d3-89b9-0000f81fe221" !-- MS14-067 ActiveX Class ID: !-- "f6d90f16-9c73-11d3-b32e-00c04f990bb4" !-- MS14-079 TrueType Font files: !-- ".ttf" !-- regex CLSID_MS14-067_1 "[fF]5078[fF]39[-][cC]551[-]
                       11[dD]3[-]89[bB]9[-]0000[fF]81[fF][eE]221"
  regex CLSID_MS14-067_2 "[fF]6[dD]90[fF]16[-]9[cC]73[-]
                       11[dD]3[-][bB]32[eE][-]00[cC]04[fF]990[bB][bB]4"
  regex FileID_MS14-079 "\.[Tt][Tt][Ff]"
  
  
  
  ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! 
  class-map type regex match-any MS14-067_regex_class
   match regex CLSID_MS14-067_1
   match regex CLSID_MS14-067_2
  
  ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
  object-group service WEBPORTS tcp
   port-object eq www 
   port-object eq 3128 
   port-object eq 8000 
   port-object eq 8010 
   port-object eq 8080 
   port-object eq 8888 
   port-object eq 24326 
  ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
  access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
  ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map Webports_Class
   match access-list Webports_ACL
  ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Nov_2014_policy
   parameters
  ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments. !  body-match-maximum 1380
   match response body regex FileID_MS14-079
    drop-connection log
   match response body regex class MS14-067_regex_class
    drop-connection log
  ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
  policy-map global_policy
   class Webports_Class
    inspect http MS_Nov_2014_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
  service-policy global_policy global

  Voor extra informatie over de configuratie en het gebruik van objectgroepen raadpleegt u de sectie Objecten en ACL’s van Boek 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.2.

  Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.

  Raadpleeg voor informatie over het gebruik van de Cisco Firewall CLI om de effectiviteit van toepassingsinspectie te meten de Cisco Security white paper Identification of Security Exploits met Cisco ASA, Cisco ASM en Cisco FWSM Firewalls.

  Cisco ACE

  Beperken: Application Protocol Inspection

  Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.

  Aanvullende informatie over inspectie van toepassingsprotocollen is te vinden in de sectie Configuration Application Protocol Inspection van Security Guide vA5(1.0), Cisco ACE Application Control Engine.

  HTTP-pakketcontrole voor diep gebruik

  Om HTTP-diepe pakketinspectie voor MS14-067 en MS14-079 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse-kaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals die beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsprotocolinspectie van HTTP zal verbindingen laten vallen waar de inhoud van HTTP om het even welke regexes bevat die worden gevormd om de controles aan te passen ActiveX die met deze kwetsbaarheid worden geassocieerd.

  Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Er dient voor te worden gezorgd dat legitieme bedrijfstoepassingen die overeenkomende tekststrings gebruiken zonder de ActiveX-besturing te bellen, niet worden beïnvloed.

  Aanvullende informatie over ActiveX-explosies en -beperkingen die gebruikmaken van de Cisco ACE Application Control Engine-applicatie en -module is beschikbaar in de white paper Preventing ActiveX Exploits met Cisco Application Control Engine Application Layer Inspection door Cisco Security.

  
  ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain a combination of !-- MS14-067 ActiveX Class ID: !-- "f5078f39-c551-11d3-89b9-0000f81fe221" !-- MS14-067 ActiveX Class ID: !-- "f6d90f16-9c73-11d3-b32e-00c04f990bb4" !-- and MS14-79 TrueType Fond Files: !-- ".ttf" ! 
  class-map type http inspect match-any MS14-067_class
    match content ".*[fF]5078[fF]39[-][cC]551[-]
                       11[dD]3[-]89[bB]9[-]0000[fF]81[fF][eE]221.*"
    match content ".*[fF]6[dD]90[fF]16[-]9[cC]73[-]
                       11[dD]3[-][bB]32[eE][-]00[cC]04[fF]990[bB][bB]4.*"
  class-map type http inspect match-any MS14-079_class
    match content ".*\.[Tt][Tt][Ff].*"
  
  ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
  policy-map type inspect http all-match MS_Nov_2014
    class MS14-067_class
      reset log
    class MS14-079_class
      reset log
  ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
  access-list WEBPORTS line 8 extended permit tcp any any eq www 
  access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
  access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
  access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
  access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
  access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
  access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
  ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map match-all L4_http_class
    match access-list WEBPORTS
  ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
  policy-map multi-match L4_MS_Nov_2014
    class L4_http_class
      inspect http policy MS_Nov_2014  
  ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Nov_2014

  Raadpleeg voor informatie over het gebruik van de ACE-CLI om de effectiviteit van toepassingsinspectie te meten de Cisco Security white paper Identification of Malicious Traffic met Cisco ACE.

  Cisco-inbraakpreventiesysteem

  Beperken: acties voor Cisco IPS-handtekeningen

  Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.

  CVE-id	Handtekeningrelease	Handtekening-ID	Handtekeningnaam	Ingeschakeld	Ernst	Fidelity*
  CVE-2014-6332	S835	4761-0	Kwetsbaarheid van Microsoft Internet Explorer-informatievoorziening	Ja	Hoog	85
  CVE-2014-6352	S835	4739-0	Zandwormen	Ja	Hoog	85
  CVE-2014-6352	S835	4739-1	Zandwormen	Ja	Hoog	85
  CVE-2014-4143	S835	4763-0	Microsoft Internet Explorer Memory Corruptie	Ja	Hoog	85
  CVE-2014-6323	S835	4784-0	Kwetsbaarheid van Microsoft Internet Explorer Clipboard Information	Ja	Gemiddeld	80
  CVE-2014-6337	S835	4783-0	Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid	Ja	Hoog	85
  CVE-2014-6339	S835	4781-0	Microsoft Internet Explorer Security-omzeilbaarheid	Ja	Hoog	85
  CVE-2014-6340	S835	4780-0	Microsoft Internet Explorer cross-domein informatieonthulling kwetsbaarheid	Ja	Gemiddeld	80
  CVE-2014-6341	S835	4772-0	Microsoft Internet Explorer Memory Corruptie	Ja	Hoog	85
  CVE-2014-6342	S835	4775-0	Microsoft Internet Explorer Memory Corruptie	Ja	Hoog	85
  CVE-2014-6343	S835	4782-0	Microsoft Internet Explorer Memory Corruptie	Ja	Hoog	85
  CVE-2014-6347	S835	4788-0	Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid	Ja	Hoog	85
  CVE-2014-6348	S835	4778-0	Microsoft Internet Explorer gebruiken na gratis	Ja	Hoog	85
  CVE-2014-6351	S835	4774-0	Microsoft Internet Explorer gebruiken na gratis	Ja	Hoog	85
  CVE-2014-6353	S835	4773-0	Microsoft Internet Explorer gebruiken na gratis	Ja	Hoog	85
  CVE-2014-6334	S835	4767-0	Microsoft Office Bad Index Remote Code Uitvoeren Kwetsbaarheid	Ja	Hoog	85
  CVE-2014-6335	S835	4770-0	Microsoft Office Ongeldige Pointer Remote Code Uitvoering	Ja	Hoog	85
  CVE-2014-4076	S835	4760-0	Escalatie van Microsoft Windows-serverrechten	Ja	Hoog	85

  * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

  Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.

  Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

  Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

  Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS-sensor te bekijken.

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
  
  

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Eerste vrijgave		2014-november-11 18:45 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
  
  

Gerelateerde informatie

• • Cisco-bulletins voor toegepaste beperking
  • Cisco-beveiliging
  • Cisco Security IntelliShield Alert Manager-service
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Cisco Nexus 5500-X switch
  • Cisco ASA 5545-CX
  • De identiteitsfirewall configureren
  • Gebruikershandleiding voor ASA CX en Cisco Prime Security Manager
  • Cisco ACE-documentatie voor Application Control Engine
  • Cisco-inbraakpreventiesysteem
  • Cisco-downloads voor IPS-handtekeningen
  • Sourcefire security van de volgende generatie
  • Sourcefire IPS-gescande regels
  • Cisco-zoekpagina voor IPS-handtekeningen
  • Cisco Security Manager
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)
  • Abonneren op Cisco-meldingen van toegepaste beperking

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Microsoft, Inc.	.NET Framework	1.1 (SP1) | 2,0 SP2 | 3,5 (basis) | 3.5.1 (Basis) | 4,0 (basis) | 4,5 (Basis) | 4.5.1 (Basis) | 4.5.2 (Basis)
  	Active Directory Federation Services (ADFS)	2.0 (Basis) | 2.1 (Basis) | 3,0 (basis)
  	Internet Explorer	6,0 (basis) | 7,0 (basis) | 8,0 (basis) | 9,0 (basis) | 10,0 (basis) | 11,0 (basis)
  	Internet Information Services (IIS)	8,0 (basis) | 8,5 (basis)
  	Microsoft XML-kernservices	3,0 (basis)
  	Kantoor	2007 (SP3, IME (Japans))
  	Office-compatibiliteitspakket	SP3 (basis)
  	Office SharePoint Server	2010 (SP2)
  	Windows 7	voor 32-bits systemen (SP1) | voor op x64 gebaseerde systemen (SP1)
  	Windows 8	voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base)
  	Windows 8.1	voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base)
  	Windows RT	Oorspronkelijke release (basis) | 8.1 (Basis)
  	Windows Server 2003	Datacenter Edition (SP2) | Datacenter Edition, 64-bits (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2)
  	Windows Server 2008	Datacenter Edition (SP2) | Datacenter Edition, 64-bits (SP2) | Itanium-gebaseerde Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-bits (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (SP2) | Webserver (SP2) | Webserver, 64-bits (SP2)
  	Windows Server 2008 R2	x64-gebaseerde Systems Edition (SP1) | Itanium-gebaseerde Systems Edition (SP1)
  	Windows Server 2012	Oorspronkelijke release (basis)
  	Windows Server 2012 R2	Oorspronkelijke release (basis)
  	Windows Vista	Home Basic (SP2) | Home Premium (SP2) | Bedrijfsleven (SP2) | Ondernemingen (SP2) | Uiteindelijk (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultieme x64-editie (SP2)
  	Woord	2007 (SP3)
  	Word-viewer	Oorspronkelijke release (basis)
  	SharePoint Foundation-software	2010 (SP2)

  
  
  

  Verwante producten
  Cisco-software	Cisco Broadband Troubleshooter	Oorspronkelijke release (basis) | 3.1 (Basis) | 3.2 (Basis)
  	Cisco Building Broadband Service Manager (BSM)	Oorspronkelijke release (basis) | 2,5 (0,1) | 3,0 (basis) | 4,0 (Basis, 0,1) | 4.2 (Basis) | 4.3 (Basis) | 4.4 (Basis) | 4,5 (Basis) | 5,0 (basis) | 5.1 (Basis) | 5.2 (Basis)
  	Cisco CNS-netwerkregistratieserver	2,5 (basis) | 3,0 (basis) | 3,5 (Basis, 0,1) | 5,0 (basis) | 5,5 (Basis, 0,13) | 6,0 (0,5, 0,5,2, 0,5,3, 0,5,4) | 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4)
  	Cisco Collaboration Server voor dynamische contentadapter (DCA)	Oorspronkelijke release (basis) | 1,0 (Basis) | 2.0 (Basis, (1)_SR2)
  	Cisco Computer Telephony Integration optie (CTI)	4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) | 7,0 ((0)_SR1, (0)_SR2) | 7.1, leden 2, 3, 4 en 5
  	Cisco-vergaderverbinding	1.1 (3), (3)spA) | 1.2 (Basis, (1), (2), (2)SR1, (2)SR2)
  	Cisco E-mailbeheer	Oorspronkelijke release (basis) | 4,0 (Basis, .5i, .6) | 5.0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
  	Cisco Noodrespons	1.1 (Basis, (3), (4)) | 1.2 (Basis, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) | 1.3 (Basis, 1a, 2)
  	Cisco Intelligent Contact Manager (ICM)	Oorspronkelijke release (basis) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) | 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 7.1, leden 2, 3, 4 en 5
  	Cisco Unified contactcenters	Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1(1) , 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3)_SR1, 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) | Hosted Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
  	Cisco Unified IP IVR	2,0 (0,2) | 2,1 (0,1a, 0,2, 0,3) | 2.2 (5), .1, .2, .3b, .3b_spE, .5, .4) | 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4.0 ((1)_SR1, (4)_SR1) | 4.1 (1)_SR1) | 4.5 ((2)_SR1, (2)_SR2) | 5,0 ((1)_SR1)
  	Cisco IP-interoperabiliteit en -samenwerkingssysteem (IPICS)	1,0 (1,1)
  	Cisco IP-wachtrijbeheer	2.2 (Basis)
  	Cisco IP/VC 3540 toepassingsservermodule	3,2 (0,0,1,138) | 3,5 (0,8)
  	Cisco IP/VC 3540 snelheidsaanpassingsmodule	3,0 (,9)
  	Cisco-mediaspeler	Oorspronkelijke release (basis) | 3,0 (basis) | 4,0 (basis) | 5.0 (Basis, (0)_SR1, (0)_SR2)
  	Cisco-netwerkservices voor Active Directory	Oorspronkelijke release (basis)
  	Cisco uitgaande optie	Oorspronkelijke release (basis)
  	Cisco Personal Assistant	1.0 (Basis, (1)) | 1.1 (Basis) | 1.3 (Basis, .1, .2, .3, .4) | 1,4 (Basis, .2, .3, .4, .5, .6)
  	Optie voor Cisco Remote Monitoring Suite	1,0 (basis) | 2.0 (Basis, (0)_SR1)
  	Cisco Secure Access Control Server (ACS) voor Windows	2.6 (Basis) | 2.6.3.2 (Basis) | 2.6.4 (Basis) | 2.6.4.4 (Basis) | 3,0 (basis) | 3.0.1 (Basis) | 3.0.1.40 (Basis) | 3.0.2 (Basis) | 3.0.3 (Basis) | 3.0.3.6 (basis) | 3.0.4 (Basis) | 3.1.1 (Basis) | 3.1.1.27 (basis) | 3.1.2 (Basis) | 3.2 (Basis) | 3.2.1 (Basis) | 3.2.3 (Basis) | 3.3.1 (Basis) | 3.3.2.2 (Basis) | 3.3.1.16 (basis) | 3.3.3.11 (basis) | 4,0 (basis) | 4.0.1 (Basis) | 4.0.1.27 (Basis) | 4.1.1.23 (basis)
  	Cisco Secure Access Control Server Solution Engine (ACSE)	3.1 (Basis, .1) | 3.2 (Basis, .1.20, .2.5, .3) | 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) | 4.0 (Basis, .1, .1.42, .1.44, .1.49) | 4.1 (Basis, .1.23, .1.23.3, .3, .3.12)
  	Cisco Secure User Registration Tool (PST)	Oorspronkelijke release (basis) | 1,2 (Basis, 0,1) | 2,0 (Basis, 0,7, 0,8) | 2.5 (Basis, .1, .2, .3, .4, .5)
  	Cisco SN 5420 opslagrouter	1.1 (Basis, .3, .4, .5, .7, .8) | 2,1 (0,1, 0,2)
  	Cisco SN 5428-2 opslagrouter	3,2 (0,1, 0,2) | 3,3 (0,1, 0,2) | 3,4 (0,1) | 3.5 (Basis, .1, .2, .3, .4)
  	Cisco-trailhead	Oorspronkelijke release (basis) | 4,0 (basis)
  	Cisco Unified Communications Manager	Oorspronkelijke release (basis) | 1,0 (Basis) | 2,0 (basis) | 3,0 (basis) | 3.0.3 a) (basis) | 3.1 (Basis, .1, .2, .3a) | 3.1(1) (Basis) | 3.1(2) (Basis) | 3.1(2)SR3 (basis) | 3.1(3) (Basis) | 3.1(3)SR2 (Basis) | 3.1(3)SR4 (basis) | 3.2 (Basis) | 3.2(3)SR3 (basis) | 3.3 (Basis) | 3.3(2)SPc (basis) | 3.3(3) (Basis) | 3.3(3)ES61 (basis) | 3.3(3)SR3 (basis) | 3.3(3)SR4a (basis) | 3.3(3a) (Basis) | 3.3(4) (Basis) | 3.3(4)ES25 (Basis) | 3.3(4)SR2 (Basis) | 3.3(4c) (basis) | 3.3(5) (Basis) | 3.3(5)ES24 (Basis) | 3.3(5)SR1 (basis) | 3.3(5)SR1a (basis) | 3.3(5)SR2 (Basis) | 3.3(5)SR2a (basis) | 3.3(5)SR3 (basis) | 3.3(59) (basis) | 3.3(61) (basis) | 3.3(63) (Basis) | 3.3(64) (basis) | 3.3(65) (basis) | 3.3(66) (basis) | 3.3(67.5) (Basis) | 3.3(68.1) (Basis) | 3.3(71.0) (Basis) | 3.3(74.0) (Basis) | 3.3(78) (basis) | 3.3(76) (basis) | 4,0 (0,1, 0,2) | 4.0(2a)ES40 (basis) | 4.0(2a)ES56 (basis) | 4.0(2a)SR2b (basis) | 4.0(2a)SR2c (basis) | 4.1 (Basis) | 4.1(2) (Basis) | 4.1(2)ES33 (Basis) | 4.1(2)ES50 (basis) | 4.1(2)SR1 (Basis) | 4.1(3) (Basis) | 4.1(3)ES (basis) | 4.1(3)ES07 (basis) | 4.1(3)ES24 (Basis) | 4.1(3)SR (basis) | 4.1(3)SR1 (Basis) | 4.1(3)SR2 (Basis) | 4.1(3)SR3 (basis) | 4.1(3)SR3b (basis) | 4.1(3)SR3c (basis) | 4.1(3)SR4 (basis) | 4.1(3)SR4b (basis) | 4.1(3)SR4d (basis) | 4.1(3)SR5 (Basis) | 4.1(4) (Basis) | 4.1(9) (Basis) | 4.1(17) (Basis) | 4.1(19) (Basis) | 4.1(22) (Basis) | 4.1(23) (Basis) | 4.1(25) (Basis) | 4.1(26) (Basis) | 4.1(27.7) (Basis) | 4.1(28.2) (Basis) | 4.1(30.4) (Basis) | 4.1(36) (Basis) | 4.1(39) (Basis) | 4.2(1) (Basis) | 4.2(1)SR1b (basis) | 4.2(1.02) (Basis) | 4.2(1.05.3) (Basis) | 4.2(1.06) (Basis) | 4.2(1.07) (Basis) | 4.2(3) (Basis) | 4.2(3)SR1 (Basis) | 4.2(3)SR2 (Basis) | 4.2(3.08) (Basis) | 4.2(3.2.3) (Basis) | 4.2(3.3) (Basis) | 4.2(3.13) (Basis) | 4.3(1) (Basis) | 4.3(1)SR (basis) | 4.3(1.57) (Basis)
  	Cisco Unified Customer Voice Portal (CVP)	3,0 ((0), (0)SR1, (0)SR2) | 3.1 (0), (0)SR1, (0)SR2) | 4,0 (0), (1), (1)SR1, (2)
  	Cisco Unified MeetingPlace	4.3 (Basis) | 5.3 (Basis) | 5.2 (Basis) | 5.4 (Basis) | 6,0 (basis)
  	Cisco Unified MeetingPlace Express	1.1 (Basis) | 1.2 (Basis) | 2,0 (basis)
  	Cisco Unity	Oorspronkelijke release (basis) | 2,0 (basis) | 2.1 (Basis) | 2.2 (Basis) | 2.3 (Basis) | 2,4 (Basis) | 2,46 (basis) | 3,0 (basis, 0,1) | 3.1 (Basis, .2, .3, .5, .6) | 3.2 (Basis) | 3.3 (Basis) | 4.0 (Basis, .1, .2, .3, .3b, .4, .5) | 4.1 (Basis, 0,1) | 4.2 (Basis, .1, .1 ES27) | 5,0 (1) | 7,0 (2)
  	Cisco Unity Express	1.0.2 (Basis) | 1.1.1 (Basis) | 1.1.2 (Basis) | 2.0.1 (Basis) | 2.0.2 (Basis) | 2.1.1 (Basis) | 2.1.2 (Basis) | 2.1.3 (Basis) | 2.2.0 (Basis) | 2.2.1 (Basis) | 2.2.2 (Basis) | 2.3.0 (Basis) | 2.3.1 (Basis)
  	Software voor Cisco Wireless Control System (WCS)	1,0 (basis) | 2,0 (basis, 44.14, 44.24) | 2,2 ( 0,0, 0,111,0) | 3,0 (Basis, 0,101,0, 0,105,0) | 3.1 (basis, 0,20,0, 33,0, 35,0) | 3.2 (Basis, 0,23,0, 0,25,0, 40,0, 0,51,0, 0,64,0) | 4.0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1 (Basis, 0,83,0)
  	CiscoWorks IP-telefoniemilieumonitor (ITEM)	1.3 (Basis) | 1,4 (Basis) | 2,0 (basis)
  	CiscoWorks LAN-beheeroplossing (LMS)	1.3 (Basis) | 2.2 (Basis) | 2,5 (Basis) | 2,6 (basis)
  	CiscoWorks QoS Policy Manager (QPM)	2.0 (Basis, .1, .2, .3) | 2,1 (0,2) | 3,0 (basis, 0,1) | 3.1 (Basis) | 3.2 (Basis, .1, .2, .3)
  	CiscoWorks Routed WAN-beheeroplossing (RWAN)	1,0 (basis) | 1.1 (Basis) | 1.2 (Basis) | 1,3 (Basis, 0,1)
  	CiscoWorks Small Network Management-oplossing (SNMS)	1,0 (basis) | 1,5 (Basis)
  	CiscoWorks VPN/Security Management Solution (VMS)	1,0 (basis) | 2,0 (basis) | 2.1 (Basis) | 2.2 (Basis) | 2.3 (Basis)
  	Cisco Collaboration Server	3,0 (basis) | 3,01 (basis) | 3,02 (basis) | 4,0 (basis) | 5,0 (basis)
  	Cisco DOCSIS CPE-configurator	1,0 (basis) | 1.1 (Basis) | 2,0 (basis)
  	Cisco Unified IP Interactive Voice Response (IVR)	2.0 (Basis) | 2.1 (Basis)
  	Cisco Service Control Engine	3,0 (basis) | 3.1 (Basis)
  	Cisco Transport Manager	Oorspronkelijke release (basis) | 2,0 (basis) | 2.1 (Basis) | 2,2 (Basis, 0,1) | 3,0 (Basis, .1, .2) | 3.1 (Basis) | 3.2 (Basis) | 4,0 (basis) | 4.1 (Basis, .4, .6, .6.6.1) | 4,6 (basis) | 4,7 (Basis) | 5.0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6,0 (basis, 0,405,1, 0,407,1, 0,412,1) | 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) | 7.2 (Basis, 0,199,1)
  Microsoft, Inc.	Kantoor	2007
  	Windows 7	voor 32-bits systemen | voor op x64 gebaseerde systemen
  	Windows 8	voor 32-bits systemen | voor op x64 gebaseerde systemen
  	Windows 8.1	voor 32-bits systemen | voor op x64 gebaseerde systemen
  	Windows RT	Oorspronkelijke release | 8.1
  	Windows Server 2003	Datacenter Edition | Datacenter Edition, 64-bits (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-bits (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standaarduitgave | Standard Edition, 64-bits (Itanium) (SP1) | Standard Edition x64 (AMD/EM64T) | Webex Edition
  	Windows Server 2008	Datacenter Edition | Datacenter Edition, 64-bits | Itanium-gebaseerde systeemeditie | Enterprise Edition | Enterprise Edition, 64-bits | Essential Business Server-standaard | Essential Business Server Premium | Essential Business Server Premium, 64-bits | Standaarduitgave | Standard Edition, 64-bits | Webserver | Webserver, 64-bits
  	Windows Server 2008 R2	x64-gebaseerde Systems Edition | Itanium-gebaseerde systeemeditie
  	Windows Server 2012	Oorspronkelijke release
  	Windows Server 2012 R2	Oorspronkelijke release
  	Windows Vista	Home Basic | Home Premium | Bedrijfsactiviteiten | Ondernemingen | Uiteindelijk | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultieme x64-editie