专题 - 在线实验 - 工具软件 - 网络管理 - 资讯动态 -综合布线 - 解决方案 - 配置大全 - 问题解答 - 网络协议 - 文档下载 - 当前有 工程师在线 邀您加入
Cisco及华为网络技术论坛
您的位置:
首页 > Vlan9.com > 软件工具 > CiscoIOS > 正文 阅读排行榜

Cisco IOS畸形MPLS包远程拒绝服务漏洞


来源:QQread.com收集 作者: 出处:Vlan9.com 2007-07-01 进入论坛
  • 关 键 词:
  • http


信息提供:

 安全公告(或线索)提供热线:51cto.editor@gmail.com

漏洞类别:

 其它

攻击类型:

 拒绝服务攻击

发布日期:

 2005-01-26

更新日期:

 2005-02-04

受影响系统:

 Cisco IOS 12.3

Cisco IOS 12.2

Cisco IOS 12.1

安全系统:

Cisco IOS 12.0

漏洞报告人:

 Cisco Security Advisory

漏洞描述:

 BUGTRAQ  ID: 12369

Cisco IOS是运行于很多Cisco设备的操作系统。

Cisco IOS设备在处理特殊MPLS包时存在问题,远程攻击者可以利用这个漏洞对设备进行拒绝服务攻击。

仅有运行有漏洞版本IOS(支持MPLS)的以下产品才受影响.

* 2600和2800系列路由器

* 3600, 3700和3800系列路由器

* 4500和4700系列路由器

* 5300, 5350和5400系列接入服务器



设置了IP和IP Plus功能的设备不支持MPLS,因此这些设置了IP或者IP Plus功能的设备不存在此漏洞。

MPLS是由Cisco实现的多协议标签交换协议,更多信息可参见:

http://www.cisco.com/warp/public/732/Tech/mpls.

Cisco设备上某个关闭MPLS协议的接口接收到MPLS包后的处理过程中存在一个漏洞,可导致设备重新启动;MPLS流量工程可保护此类攻击,因此如果配置了MPLS流量工程的路由器不存在此漏洞。

在关闭了MPLS协议的接口上接收到畸形包时,需要几分钟恢复正常功能,持续发送此类通信可导致拒绝服务攻击。

测试方法:

解决方法:

 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 可以整体启用MPLS流量工程(MPLS TE)做为缓解这个漏洞的临时解决方案.由于MPLS必须Cisco快速转发(CEF)才能工作,因此必须首先启用CEF才能启用MPLS TE.



可以通过以下命令启用CEF和MPLS TE.

Router(config)# ip cef

Router(config)# mpls traffic-eng tunnels

启用MPLS TE可以使路由器免于来自任何接口的攻击.

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20050126-les)以及相应补丁:

cisco-sa-20050126-les:Crafted Packet Causes Reload on Cisco Routers

链接:http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml

更多请看Cisco与华为技术网(Vlan9.com)Cisco IOSDoS 拒绝服务攻击MPLS路由协议专题专题,或进入论坛讨论。

更多专题 【相 关 文 章】

vlan9_logo
相关专题

论坛精华
阅读排行榜
更多排行>>
最新技术文档
热门关键字导读