版本 1.6
更新时间2003 July 18 at 21:00 UTC (GMT)
发布时间 2003 July 17 at 6:10 UTC (GMT)
目录
简介
受影响的产品
细节
漏洞影响
软件版本及其修复
获得修补后的软件
临时解决方案
Exploitation及公告
本安全提示的状态: 过渡性的
本文档的分发(未翻译 不翻译)
历史版本(未翻译 不翻译)
Cisco 安全问题处理过程(未翻译 不翻译)
Summary
运行IOS软件并且运行了IPv4堆栈的Cisco路由器和交换机受到了一个拒绝服务攻击(DoS)的影响. 对该设备发送大量的用特定的数值填充了协议号的IPv4数据包可能会造成该端口在input queue满了之后不再处理发送进来的数据包,而发送数据包给一个接口并不需要得到任何验证. 在Cisco设备中IPv4的支持是缺省打开的. 仅仅运行IPv6的设备不受该漏洞影响. 后文描述了临时解决方案.
Cisco已经发布了可以免费索取的软件来解决这个问题.
你可以在该链接看到本公告的最新英文版本 http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml.
(!!!后续版本站点将不再翻译,译者估计后续版本主要是关于软件更新的表格的变化,因此,在更新您的系统之前,请到该链接了解最新的软件版本情况 译者注!!!)
受影响的产品
该漏洞影响所有在Cisco IOS软件上运行IPv4的产品. 不运行IOS操作系统的Cisco设备不受影响 仅仅运行IPv6的设备也不受影响
细节
Cisco的路由器缺省开启了IPv4协议栈. 发送大量由处理器处理的,协议号为53 (SWIPE), 55 (IP Mobility), 77 (Sun ND), or 103 (Protocol Independent Multicast - PIM)的数据包给路由器的某个端口, 将可能造成路由器错误的置一个标志位,认为该端口的输入队列已经满了。 这将导致路由器的该接口停止处理所有输入的数据包, 同时这也将导致路由协议超时.
启动了PIM处理过程的路由器不会受到协议号为103的PIM数据包的影响(同样会受到其他包影响 译者注). PIM进程当路由器的某个接口上配置了PIM后启动. 一个配置了PIM的接口的配置中将至少有以下几条 命令其中的一条ip pim dense-mode, ip pim sparse-mode, ip pim sparse-dense-mode.
在以太接口上,ARP协议缺省会在4小时后超时, 然后将没有任何数据包可以被处理(包括 input和 output 译者注). 设备必须重启动才能清空接口上的输入队列,而且重启动的操作必须由管理员手动进行, 设备不会自动重启. 该攻击可以在所有接口上重复进行,导致路由器无法远程访问. 下面有详细的关于临时解决方案的描述, 在临时解决方案一节中.
以下的两个Cisco漏洞被DDTS记录: CSCea02355 ( 注册用户可用) 影响所有的运行IOS软件的Cisco路由器. 该文档记载了协议号 53、55和77的漏洞. CSCdz71127 ( 注册用户 可用) 被一个更早的版本所介绍, 作为协议号103输入队列漏洞记载,该漏洞影响所有没有开启PIM的设备. 所有修复了 CSCdx02283 ( 注册用户可用) 漏洞的设备同样可能被攻击.
注册用户可以通过位于 http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl ( 注册用户可用) 的Bug Toolkit了解更多细节.
想了解一个端口是否被该攻击阻断, 使用show interfaces命令然后观察Input Queue. 假设当前值(在该例子中为76)比最大值(75)大, 输入队列就已经被阻断
使用show buffers命令观察prot(protocol的缩写表示协议号 译者注)值. 请观察下面的两个例子:
Router#show interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0050.500e.f1e0
(bia 0050.500e.f1e0)
Internet address is 172.16.1.9/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
rely 255/255, load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:41, output 00:00:07, output hang never
Last clearing of "show interface" counters 00:07:18
Input queue: 76/75/1091/0 (size/max/drops/flushes);
Total output drops: 0
!--- The 76/75 shows that this is blocked
Router#show buffers input-interface serial 0/0 packet
Buffer information for Small buffer at 0x612EAF3C
data_area 0x7896E84, refcount 1, next 0x0, flags 0x0
linktype 7 (IP), enctype 0 (None), encsize 46, rxtype 0
if_input 0x6159D340 (FastEthernet3/2), if_output 0x0 (None)
inputtime 0x0, outputtime 0x0, oqnumber 65535
datagramstart 0x7896ED8, datagramsize 728, maximum size 65436
mac_start 0x7896ED8, addr_start 0x7896ED8, info_start 0x0
network_start 0x7896ED8, transport_start 0x0
source: 10.0.0.1, destination: 192.168.10.10, id: 0xAAB8,
ttl: 41, prot: 103
!--- prot: 103 被发现是其中一个攻击数据包
漏洞影响
一个接受到构造出的特定的IPv4数据包的路由器会使得其端口停止处理输入的数据包, 同时,该设备将停止处理所有发往路由器自身的数据包,包括ARP协议,路由协议. 设备上不会有alarm报告,路由器也不会自动重启修复该错误. 该错误影响所有的运行IOS的Cisco设备. 该漏洞可以反复被实施导致网络不可用,除非进行了软件升级或者应用了合适的工作环境进行临时修补 .
软件版本及其修复
表格的每一行描述了一个软件的发行版本以及其运行的硬件环境. 如果该版本的软件可能被攻击,那么最早的包含了针对该漏洞的修补的软件版本(或者是该版本的预期提供时间) 将在重编译, 过渡版本和维护版本一栏中出现. 在部分情况下, 并没有重编译一个流行版本的计划; 这是该栏将被标明"Not scheduled." 所有运行比后面最早的更新版本更早的第一列的软件版本的设备都会受到该漏洞的影响, 这些设备应该被及时升级到表格中指名的更新版本.
当你选择一个新版本的时候,记住以下的三种定义:
维护版本
经过了大量测试被强烈推荐的版本在表格中这一行里面.
重编译版本
由维护版本或者主要的发行版本重新编译而成, 该编译包含了对特定漏洞的修补. 虽然该版本缺乏大规模的测试, 但是该版本仅仅改动了软件需要抵御该漏洞的 极小的一部分. Cisco可能会因为发现的多个漏洞给出多个重编译的软件版本, 但强烈建议您使用最新的维护版本.
过渡版本
在经过大量测试的维护版本之前推出的未经过广泛测试的版本. 建议过渡版本仅仅在没有其他修复了该漏洞的合适版本可供选择的时候使用, 并且应该在维护版本发布后尽快升级. 过渡版本在制作的过程中一般不可用, 通常并不提供在CCO上供客户下载除非出现来自Cisco TAC特别的安排 .
在任何情况下,升级IOS之前,用户都应该确认当前硬件是否有足够的Flash和Memory来使用新的软件, 以及当前的软硬件配置是否能被新的版本所支持. 假设您不清楚这些信息, 请联系Cisco TAC寻求帮助.
Notes:
** 表示该版本无法在CCO上获得. 请联系Cisco TAC以获得这些版本.
获得修补后的软件
用户可以通过他们升级软件的途径免费获得新的修补版本获得. 对于大部分用户来说, 这意味着 可以通过Cisco Web站点上的Software Centerhttp://www.cisco.com/tacpage/sw-center/sw-ios.shtml获得升级版本.
通过第三方的技术服务商(例如合作伙伴、认证分销商、服务提供商)获得Cisco产品和技术支持的客户。 请联系你们的技术支持商寻求免费升级软件的帮助.
通过Cisco直接定购产品但并没有Cisco service contract的用户,和通过第三方服务商无法获得 修补软件的用户可以直接联系Cisco TAC. TAC的联系方式见下.
+1 800 553 2447 (toll free from within North America)
+1 408 526 7209 (toll call from anywhere in the world)
e-mail: tac@cisco.com
请给出您的产品的序列号和本文的URL(请提交开头部分列出的英文URL 译者注)作为您免费更新软件的证明. 没有服务号的用户的免费升级需要通过TAC进行.
请不要因为版本升级的问题联系"psirt@cisco.com" 和 "security-alert@cisco.com".
您可以阅读 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获得更多的TAC的联系方法, 包括不通地区的联系电话, 联系指导, 适用不同语言的e-mail.
临时解决方案
在应用了临时解决方案之后,可以使用"hold-queue in"接口命令增大输入队列 -- 缺省大小为75,增大输入队列后,该接口将继续工作. 但是您仍然需要在一个合适的时间重新启动设备
