Cisco IOS XE 1000 Series szolgáltatás megtagadásos sérülékenységek

CH azonosító

CH-8921

Angol cím

Cisco IOS XE 1000 Series ASR Denial of Service Vulnerabilities

Felfedezés dátuma

2013.04.10.

Súlyosság

Közepes

Érintett rendszerek

CISCO
IOS XE

Érintett verziók

Cisco IOS XE 2.1.x, 2.2.x, 2.3.x, 2.4.x, 2.5.x, 2.6.x, 3.1.x, 3.2.x, 3.3.x, 3.5.x, 3.4.x, 3.6.x, 3.7.x

Összefoglaló

A Cisco IOS XE több sérülékenységét jelentették, amiket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. Az IPv6 multicast csomagok feldolgozásában lévő hibát kihasználva az eszköz újraindulását lehet előidézni fragmentált IPv6 csomagok küldésével.
  2. Az MVPNv6 csomagok feldolgozásában lévő hibát kihasználva az eszköz újraindulását lehet előidézni fragmentált IPv6 MVPN csomagok küldésével.
  3. Az L2TP csomagok kezelésében lévő hibát kihasználva az eszköz újraindulását lehet előidézni speciálisan összeállított L2TP csomagok küldésével.
  4. A bridge domain interface-hez (BDI) kapcsolódó csomagok feldolgozásában lévő hibát kihasználva az eszköz újraindulását lehet előidézni csomagoknak az eszközön keresztüli küldésével.
  5. A SIP csomagok feldolgozásában lévő hibát kihasználva az eszköz újraindulását lehet előidézni nagy számú SIP csomagnak az eszközön keresztüli küldésével.

Az 1. és 2. sérülékenység sikeres kihasználásához szükséges, hogy az IPv6 engedélyezett legyen az adott interface-n, valamint az MLRE engedélyezett legyen (engedélyezett alapértelmezetten). Az 3. sérülékenység sikeres kihasználásához szükséges, hogy az L2TP Network Server (LNS) termination vagy L2TPv3 Ethernet Pseudowire (xconnect) engedélyezett legyen (egyik sem engedélyezett alapértelmezetten). A 4. sérülékenység sikeres kihasználásához szükséges, hogy a BDI funkció engedélyezett legyen (alapértelmezetten nem engedélyezett). Az 5. sérülékenység sikeres kihasználásához szükséges, hogy a VRF-aware NAT és SIP ALG  engedélyezett legyen (egyik sem engedélyezett alapértelmezetten).

A sérülékenységeket a 1000 Series Aggregation Services Routers-en (ASR) futó 2.x, 3.2, 3.3, 3.4, 3.5, 3.6 3.7 verziókban jelentették. Olvassa el a gyártó tájékoztatóját a további részletekért!

Megoldás

Frissítsen a legújabb verzióra