|
版本 1.6
更新时间2003 July 18 at 21:00 UTC (GMT)
发布时间 2003 July 17 at 6:10 UTC (GMT)
目录
简介
受影响的产品
细节
漏洞影响
软件版本及其修复
获得修补后的软件
临时解决方案
Exploitation及公告
本安全提示的状态: 过渡性的
本文档的分发(未翻译 不翻译)
历史版本(未翻译 不翻译)
Cisco 安全问题处理过程(未翻译 不翻译)
Summary
运行IOS软件并且运行了IPv4堆栈的Cisco路由器和交换机受到了一个拒绝服务攻击(DoS)的影响. 对该设备发送大量的用特定的数值填充了协议号的IPv4数据包可能会造成该端口在input queue满了之后不再处理发送进来的数据包,而发送数据包给一个接口并不需要得到任何验证. 在Cisco设备中IPv4的支持是缺省打开的. 仅仅运行IPv6的设备不受该漏洞影响. 后文描述了临时解决方案.
Cisco已经发布了可以免费索取的软件来解决这个问题.
你可以在该链接看到本公告的最新英文版本 http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml.
(!!!后续版本站点将不再翻译,译者估计后续版本主要是关于软件更新的表格的变化,因此,在更新您的系统之前,请到该链接了解最新的软件版本情况 译者注!!!)
受影响的产品
该漏洞影响所有在Cisco IOS软件上运行IPv4的产品. 不运行IOS操作系统的Cisco设备不受影响 仅仅运行IPv6的设备也不受影响
细节
Cisco的路由器缺省开启了IPv4协议栈. 发送大量由处理器处理的,协议号为53 (SWIPE), 55 (IP Mobility), 77 (Sun ND), or 103 (Protocol Independent Multicast - PIM)的数据包给路由器的某个端口, 将可能造成路由器错误的置一个标志位,认为该端口的输入队列已经满了。 这将导致路由器的该接口停止处理所有输入的数据包, 同时这也将导致路由协议超时.
启动了PIM处理过程的路由器不会受到协议号为103的PIM数据包的影响(同样会受到其他包影响 译者注). PIM进程当路由器的某个接口上配置了PIM后启动. 一个配置了PIM的接口的配置中将至少有以下几条 命令其中的一条ip pim dense-mode, ip pim sparse-mode, ip pim sparse-dense-mode.
在以太接口上,ARP协议缺省会在4小时后超时, 然后将没有任何数据包可以被处理(包括 input和 output 译者注). 设备必须重启动才能清空接口上的输入队列,而且重启动的操作必须由管理员手动进行, 设备不会自动重启. 该攻击可以在所有接口上重复进行,导致路由器无法远程访问. 下面有详细的关于临时解决方案的描述, 在临时解决方案一节中.
以下的两个Cisco漏洞被DDTS记录: CSCea02355 ( 注册用户可用) 影响所有的运行IOS软件的Cisco路由器. 该文档记载了协议号 53、55和77的漏洞. CSCdz71127 ( 注册用户 可用) 被一个更早的版本所介绍, 作为协议号103输入队列漏洞记载,该漏洞影响所有没有开启PIM的设备. 所有修复了 CSCdx02283 ( 注册用户可用) 漏洞的设备同样可能被攻击.
注册用户可以通过位于 http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl ( 注册用户可用) 的Bug Toolkit了解更多细节.
想了解一个端口是否被该攻击阻断, 使用show interfaces命令然后观察Input Queue. 假设当前值(在该例子中为76)比最大值(75)大, 输入队列就已经被阻断
使用show buffers命令观察prot(protocol的缩写表示协议号 译者注)值. 请观察下面的两个例子:
Router#show interface ethernet 0/0
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0050.500e.f1e0
(bia 0050.500e.f1e0)
Internet address is 172.16.1.9/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
rely 255/255, load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:41, output 00:00:07, output hang never
Last clearing of "show interface" counters 00:07:18
Input queue: 76/75/1091/0 (size/max/drops/flushes);
Total output drops: 0
!--- The 76/75 shows that this is blocked
Router#show buffers input-interface serial 0/0 packet
Buffer information for Small buffer at 0x612EAF3C
data_area 0x7896E84, refcount 1, next 0x0, flags 0x0
linktype 7 (IP), enctype 0 (None), encsize 46, rxtype 0
if_input 0x6159D340 (FastEthernet3/2), if_output 0x0 (None)
inputtime 0x0, outputtime 0x0, oqnumber 65535
datagramstart 0x7896ED8, datagramsize 728, maximum size 65436
mac_start 0x7896ED8, addr_start 0x7896ED8, info_start 0x0
network_start 0x7896ED8, transport_start 0x0
source: 10.0.0.1, destination: 192.168.10.10, id: 0xAAB8,
ttl: 41, prot: 103
!--- prot: 103 被发现是其中一个攻击数据包
漏洞影响
一个接受到构造出的特定的IPv4数据包的路由器会使得其端口停止处理输入的数据包, 同时,该设备将停止处理所有发往路由器自身的数据包,包括ARP协议,路由协议. 设备上不会有alarm报告,路由器也不会自动重启修复该错误. 该错误影响所有的运行IOS的Cisco设备. 该漏洞可以反复被实施导致网络不可用,除非进行了软件升级或者应用了合适的工作环境进行临时修补 .
软件版本及其修复
表格的每一行描述了一个软件的发行版本以及其运行的硬件环境. 如果该版本的软件可能被攻击,那么最早的包含了针对该漏洞的修补的软件版本(或者是该版本的预期提供时间) 将在重编译, 过渡版本和维护版本一栏中出现. 在部分情况下, 并没有重编译一个流行版本的计划; 这是该栏将被标明"Not scheduled." 所有运行比后面最早的更新版本更早的第一列的软件版本的设备都会受到该漏洞的影响, 这些设备应该被及时升级到表格中指名的更新版本.
当你选择一个新版本的时候,记住以下的三种定义:
维护版本
经过了大量测试被强烈推荐的版本在表格中这一行里面.
重编译版本
由维护版本或者主要的发行版本重新编译而成, 该编译包含了对特定漏洞的修补. 虽然该版本缺乏大规模的测试, 但是该版本仅仅改动了软件需要抵御该漏洞的 极小的一部分. Cisco可能会因为发现的多个漏洞给出多个重编译的软件版本, 但强烈建议您使用最新的维护版本.
过渡版本
在经过大量测试的维护版本之前推出的未经过广泛测试的版本. 建议过渡版本仅仅在没有其他修复了该漏洞的合适版本可供选择的时候使用, 并且应该在维护版本发布后尽快升级. 过渡版本在制作的过程中一般不可用, 通常并不提供在CCO上供客户下载除非出现来自Cisco TAC特别的安排 .
在任何情况下,升级IOS之前,用户都应该确认当前硬件是否有足够的Flash和Memory来使用新的软件, 以及当前的软硬件配置是否能被新的版本所支持. 假设您不清楚这些信息, 请联系Cisco TAC寻求帮助.
Notes:
** 表示该版本无法在CCO上获得. 请联系Cisco TAC以获得这些版本.
获得修补后的软件
用户可以通过他们升级软件的途径免费获得新的修补版本获得. 对于大部分用户来说, 这意味着 可以通过Cisco Web站点上的Software Centerhttp://www.cisco.com/tacpage/sw-center/sw-ios.shtml获得升级版本.
通过第三方的技术服务商(例如合作伙伴、认证分销商、服务提供商)获得Cisco产品和技术支持的客户。 请联系你们的技术支持商寻求免费升级软件的帮助.
通过Cisco直接定购产品但并没有Cisco service contract的用户,和通过第三方服务商无法获得 修补软件的用户可以直接联系Cisco TAC. TAC的联系方式见下.
+1 800 553 2447 (toll free from within North America)
+1 408 526 7209 (toll call from anywhere in the world)
e-mail: tac@cisco.com
请给出您的产品的序列号和本文的URL(请提交开头部分列出的英文URL 译者注)作为您免费更新软件的证明. 没有服务号的用户的免费升级需要通过TAC进行.
请不要因为版本升级的问题联系"psirt@cisco.com" 和 "security-alert@cisco.com".
您可以阅读 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获得更多的TAC的联系方法, 包括不通地区的联系电话, 联系指导, 适用不同语言的e-mail.
临时解决方案
在应用了临时解决方案之后,可以使用"hold-queue in"接口命令增大输入队列 -- 缺省大小为75,增大输入队列后,该接口将继续工作. 但是您仍然需要在一个合适的时间重新启动设备清除队列中已经阻塞的数据包.
Cisco建议所有运行IPv4的IOS设备都通过ACL进行相关的配置以阻挡来自未经授权的地址 直接发往路由器的数据包. 该配置可以在多个地方进行设置, 建议您充分了解该方法并在网络中合适的地方部署ACL. 合法的发往路由器的数据包均为管理数据包,例如telnet, snmp 或者 ssh, 以及来自明确指名的对端的路由协议包. 所有其他的直接发往设备本身的数据包都应该在in 的访问列表中阻断. 通往一个网络目的地址是网络中的设备的数据流, 同样应该仔细的分析并在网络边缘实施过滤. 虽然网络服务提供商必须允许所有未知数据通过其网络传输, 但是,并不意味着需要允许所有目的地址为其网络设备的未知数据流进入其网络. 大量的技术白皮书可以帮助管理人员部署这些推荐的安全策略.
应用ACLs 可能会影响该平台的性能, 所以请谨慎使用.
Transit ACLs
下面给出的访问列表是针对该攻击设计的,专门阻断攻击数据流. 注意,这些攻击数据可能来自伪造的源地址. 该访问控制列表需要应用到设备上的每一个接口, 并且应该包含和特定拓扑相关的过滤内容 ,该访问控制列表需要包含路由信息的过滤,管理协议的过滤,以及内部网络数据的过滤. 协议号103是PIM协议的编号,该协议常用于组播网络中. 启用了PIM的接口不会 被协议号为103的PIM数据包攻击.在这种情况下应该允许PIM的数据流进入该设备.
access-list 101 deny 53 any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 103 any any
!--- insert any other previously applied ACL entries here
!--- you must permit other protocols through to allow normal
!--- traffic -- previously defined permit lists will work
!--- or you may use the permit ip any any shown here
access-list 101 permit ip any any
在部署ACL进行过滤之前,一个classification的ACL可以用来决定需要的permit语句. classification ACL是一个允许一系列协议的ACL. 显示该ACL的命中数可以帮助决定哪些协议是需要的:所有 命中数为0的协议一般都是不需要的. Classification access-lists 在下面关于Infrastructure access-lists一节的链接中有介绍.
Receive ACLs
对于分布式处理的平台, receive path access lists作为一个可选特性从Cisco IOS Software Versions 12.0(21)S2 for the c12000 and 12.0(24)S for the c7500起开始提供 receive access lists 避免了数据流影响路由器的主处理器性能, 主处理器处理ACL的负载被分布到了线性卡的处理器上,以便于 减轻主处理器的负担. 技术白皮书"GSR: Receive Access Control Lists" 可以帮助您鉴别和允许 合法数据流进入设备,而阻断所有的不速之客:
http://www.cisco.com/warp/public/707/racl.html
Infrastructure ACLs
虽然网络服务无法阻断通过其网络传输的位置数据, 但是,网络服务提供商可以鉴别所有目的地址为其网络设备的未知数据流并且将其在网络边缘阻断. 本技术白皮书"Protecting Your Core: Infrastructure Protection Access Control Lists" 提供了关于在网络基础设施中部署相关技术的指导建议
http://www.cisco.com/warp/public/707/iacl.html
Exploitation和公告
自从本文档的最初版本发布, Cisco PSIRT就已经在这份文档中发出关于该漏洞的描述公告. Cisco PSIRT发现已经有针对该漏洞的exploit(攻击小程序 译者注)通过一个公开的邮件列表流传.
本安全提示的状态: 过渡性的
这是一个过渡性的提示. Cisco不能够保证文中每句话的准确性, 虽然所有的文字我们都已经尽最大可能进行了检查. Cisco无法预期该文档什么时候会被更新除非出现了新的现象. 假设该问题出现了重大变化,Cisco将更新该文档.
Distribution
This notice is posted on the Cisco worldwide website at http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml. In addition to worldwide web posting, a text version of this notice is clear-signed with the Cisco PSIRT PGP key and is posted to the following e-mail and Usenet news recipients at the public release date and time:
cust-security-announce@cisco.com
bugtraq@securityfocus.com
full-disclosure@lists.netsys.com
first-teams@first.org (includes CERT/CC)
cisco@spot.colorado.edu
cisco-nsp@puck.nether.net
nanog@merit.edu
sanog@sanog.org
comp.dcom.sys.cisco
Various internal Cisco mailing lists
Future updates of this advisory, if any, will be placed on the Cisco worldwide web server. Users concerned about this problem are encouraged to check the URL given above for any updates.
Revision History
Cisco Security Procedures
Complete information on reporting security vulnerabilities in Cisco products, obtaining assistance with security incidents, and registering to receive security information from Cisco, is available on the Cisco worldwide website at http://www.cisco.com/warp/public/707/sec_incident_response.shtml. This includes instructions for press inquiries regarding Cisco security notices.
All Cisco Security Advisories are available at http://www.cisco.com/go/psirt.
This notice is Copyright 2003 by Cisco Systems, Inc. This notice may be redistributed freely after the release date given at the top of the text, provided that redistributed copies are complete and unmodified, and include all date and version information.
|
新闻
