漏洞信息详情
Cisco iOS IPv4报文处理拒绝服务攻击漏洞
- CNNVD编号:CNNVD-200308-107
- 危害等级: 低危
- CVE编号: CVE-2003-0567
- 漏洞类型: 输入验证
- 发布时间: 2003-07-17
- 威胁类型: 远程
- 更新时间: 2009-03-04
- 厂 商: cisco
- 漏洞来源:
漏洞简介
Cisco iOS是部署非常广泛的网络操作系统。很多Cisco设备都运行iOS。 iOS 12.3以下版本中存在一个漏洞可能允许攻击者对受影响的设备执行拒绝服务攻击。这个漏洞影响所有运行Cisco iOS软件并且处理IPv4报文的Cisco设备。 Cisco路由器缺省就被配置为接收并处理IPv4报文,通过向路由器的某个接口按照一个特殊顺序发送协议类型为53 (SWIPE)、55 (IP Mobility)、77(Sun ND)或者103 (Protocol Independent Multicast - PIM)的IPv4报文,目标路由器处理时会错误地将该接口的输入队列标识为已满状态,这将导致路由器停止处理该接口上的流量,包括路由协议报文和ARP报文。攻击不会触发任何警报,路由器也不会自动重载。必须手工重新启动路由器才能恢复正常功能。 攻击者可以重复地对该Cisco设备的所有接口进行攻击,从而使该路由器无法被远程访问。 <*链接:http://www.cert.org/advisories/CA-2003-15.HTML http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.sHTML *>
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在路由器上通过访问控制列表(ACL)过滤从未授权地址直接发往路由器本身地址的流量。
使用访问控制列表可能造成性能影响,您应当根据实际情况谨慎选用合理的访问控制列表。
您可以参考Cisco提供的下列文档进行设置:
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.sHTML#workarounds
http://www.cisco.com/warp/public/707/racl.HTML
http://www.cisco.com/warp/public/707/iacl.HTML
Cisco 也提供了一个样例ACL, 禁止所有协议类型为53,55,77,103的报文通过路由器:
access-list 101 deny 53 any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 103 any any
!--- insert any other previously applied ACL entries here
!--- you must permit other protocols through to allow normal
!--- traffic -- previously defined permit lists will work
!--- or you may use the permit ip any any shown here
access-list 101 permit ip any any 厂商补丁: Cisco ----- Cisco已经为此发布了一个安全公告(cisco-sa-20030717-blocked)以及相应补丁:
cisco-sa-20030717-blocked:Cisco Security Advisory: Cisco iOS Interface Blocked by IPv4 Packet
链接: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.sHTML
您可以从Cisco网站的软件中心下载升级程序:
http://www.cisco.com/tacpage/sw-center/sw-iOS.sHTML
或者联系相关销售方进行升级。
参考网址
来源:CERT/CC Advisory: CA-2003-17 名称: CA-2003-17 链接:http://www.cert.org/advisories/CA-2003-17.HTML 来源:CERT/CC Advisory: CA-2003-15 名称: CA-2003-15 链接:http://www.cert.org/advisories/CA-2003-15.HTML 来源:US-CERT Vulnerability Note: VU#411332 名称: VU#411332 链接:http://www.kb.cert.org/vuls/id/411332 来源: CISCO 名称: 20030717 iOS Interface Blocked by IPv4 Packet 链接:http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.sHTML 来源: OVAL 名称: oval:org.mitre.oval:def:5603 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5603 来源: FULLDISC 名称: 20030718 (no subject) 链接:http://lists.grok.org.uk/pipermail/full-disclosure/2003-July/006743.HTML
受影响实体
- Cisco iOS:12.1xk
- Cisco Ons_15454_optical_transport_platform:3.4
- Cisco Ons_15454_optical_transport_platform:3.1_.0
- Cisco Ons_15454_optical_transport_platform:3.3
- Cisco Ons_15454_optical_transport_platform:3.2_.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论