涉及程序：
Cisco CSS 11500
 
描述：
Cisco 11500内容服务交换机畸形SSL证书拒绝服务漏洞
 
 
详细：
Cisco CSS 11500内容服务交换机是用于为数据中心提供强健可度量网络服务（4-7层）的负载均衡设备。

由于在协商SSL会话期间畸形数字客户端证书所导致的内容破坏，Cisco CSS 11500可能会重新加载。

即使在SSL会话协商期间CSS没有请求客户端证书也会出现这种情况。仅在将CSS配置为支持SSL终端服务的情况下才会出现这个漏洞，而SSL终端服务不是默认配置的。

<*来源：Cisco安全公告

链接：http://www.cisco.com/warp/public/707/cisco-sa-20051019-css.shtml
*>

受影响系统：
Cisco CSS 11500 7.5
Cisco CSS 11500 7.4
Cisco CSS 11500 7.30 (00.09)S
Cisco CSS 11500 7.30 (00.08)S
Cisco CSS 11500 7.20 (03.10)S
Cisco CSS 11500 7.20 (03.09)S
Cisco CSS 11500 7.10 (05.07)S
 
 
攻击方法：
暂无有效攻击代码
 
解决方案：
临时解决方法：

* 如果不需要的话，对网络服务禁用SSL终端；
* 在CSS或网络设备上CSS之前使用访问控制列表(ACL)，将对SSL终端服务的访问仅限于可信任的网络。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20051019-css）以及相应补丁:
cisco-sa-20051019-css：Cisco 11500 Content Services Switch SSL Malformed Client Certificate Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20051019-css.shtml

补丁下载：

http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0730402.adi&app=Tablebuild&status=showC2A
http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0740202.adi&app=Tablebuild&status=showC2A
http://www.cisco.com/pcgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/content-delivery/css11500/maint-rel/sg0750103.adi&app=Tablebuild&status=showC2A