Cisco IOS畸形MPLS包遠程拒絕服務漏洞

2019-11-05 01:04:58

字體：大中小

來源：轉載

供稿：網友

信息提供：

安全公告（或線索）提供熱線：51cto.editor@Gmail.com

漏洞類別：

其它

攻擊類型：

拒絕服務攻擊

發布日期：

2005-01-26

更新日期：

2005-02-04

受影響系統：

Cisco IOS 12.3

Cisco IOS 12.2

Cisco IOS 12.1

安全系統：

Cisco IOS 12.0

漏洞報告人：

Cisco Security Advisory

漏洞描述：

BUGTRAQ ID: 12369

Cisco IOS是運行于很多Cisco設備的操作系統。

Cisco IOS設備在處理非凡MPLS包時存在問題，遠程攻擊者可以利用這個漏洞對設備進行拒絕服務攻擊。

僅有運行有漏洞版本IOS(支持MPLS)的以下產品才受影響.

* 2600和2800系列路由器

* 3600, 3700和3800系列路由器

* 4500和4700系列路由器

* 5300, 5350和5400系列接入服務器

設置了ip和IP Plus功能的設備不支持MPLS，因此這些設置了IP或者IP Plus功能的設備不存在此漏洞。

MPLS是由Cisco實現的多協議標簽交換協議，更多信息可參見：

http://www.cisco.com/warp/public/732/Tech/mpls.

Cisco設備上某個關閉MPLS協議的接口接收到MPLS包后的處理過程中存在一個漏洞，可導致設備重新啟動；MPLS流量工程可保護此類攻擊，因此假如配置了MPLS流量工程的路由器不存在此漏洞。

在關閉了MPLS協議的接口上接收到畸形包時，需要幾分鐘恢復正常功能，持續發送此類通信可導致拒絕服務攻擊。

測試方法：

無

解決方法：

臨時解決方法：

假如您不能馬上安裝補丁或者升級，NSFOCUS建議您采取以下措施以降低威脅：

* 可以整體啟用MPLS流量工程(MPLS TE)做為緩解這個漏洞的臨時解決方案.由于MPLS必須Cisco快速轉發(CEF)才能工作,因此必須首先啟用CEF才能啟用MPLS TE.

可以通過以下命令啟用CEF和MPLS TE.

Router(config)# ip cef

Router(config)# mpls traffic-eng tunnels

啟用MPLS TE可以使路由器免于來自任何接口的攻擊.

廠商補丁：

Cisco

-----

Cisco已經為此發布了一個安全公告（cisco-sa-20050126-les）以及相應補丁:

cisco-sa-20050126-les：Crafted Packet Causes Reload on Cisco Routers

鏈接：http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.sHtml

上一篇：Cisco IOS畸形IKE包遠程拒絕服務漏洞

下一篇：Cisco IOS 多個未詳細說明的 EIGRP 漏洞