BUGTRAQ ID: 28461 CVE(CAN) ID: CVE-2008-1153 Cisco IOS是思科网络设备中所使用的互联网操作系统。 运行Cisco IOS软件的设备如果启用了IPv6,就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞,攻击IPv6报文必须指向设备,通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一: 1. 如果接口上配置了RSVP服务则设备会崩溃。 2. 任何其他受影响的基于IPv4 UDP的服务会导致接口无法接收更多的通讯,仅有利用漏洞端口才会受影响。 这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文,直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯,直到路由项或地址解析协议(ARP)项过期(以先过期项为准)。中间通讯可能在几秒钟或4小时(ARP缓存的默认生命时间)内停止经过阻断的接口,具体取决于环境。之后没有中间通讯会通过被阻断的接口。 Cisco IOS 12.4 Cisco IOS 12.3 Cisco IOS 12.2 Cisco IOS 12.1 临时解决方法: * 如果不需要IPv6协议 +------------------------------- 使用以下命令禁用IPv6: Router(config)#interface FastEthernet0/0 Router(config-if)#no ipv6 address 或者 Router(config)#interface FastEthernet0/0 Router(config-if)#no ipv6 enable 如果RSVP为唯一所配置的受影响服务,只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务,则必须从所有接口禁用IPv6。 * 如果不需要基于IPv4 UDP的服务 +------------------------------------------ 仅有所有受影响的基于IPv4 UDP的服务。 禁用TACACS +--------------- 使用以下命令禁用TACACS: Router(config)#no tacacs-server host <IP-address> 或者...
BUGTRAQ ID: 28461 CVE(CAN) ID: CVE-2008-1153 Cisco IOS是思科网络设备中所使用的互联网操作系统。 运行Cisco IOS软件的设备如果启用了IPv6,就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞,攻击IPv6报文必须指向设备,通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一: 1. 如果接口上配置了RSVP服务则设备会崩溃。 2. 任何其他受影响的基于IPv4 UDP的服务会导致接口无法接收更多的通讯,仅有利用漏洞端口才会受影响。 这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文,直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯,直到路由项或地址解析协议(ARP)项过期(以先过期项为准)。中间通讯可能在几秒钟或4小时(ARP缓存的默认生命时间)内停止经过阻断的接口,具体取决于环境。之后没有中间通讯会通过被阻断的接口。 Cisco IOS 12.4 Cisco IOS 12.3 Cisco IOS 12.2 Cisco IOS 12.1 临时解决方法: * 如果不需要IPv6协议 +------------------------------- 使用以下命令禁用IPv6: Router(config)#interface FastEthernet0/0 Router(config-if)#no ipv6 address 或者 Router(config)#interface FastEthernet0/0 Router(config-if)#no ipv6 enable 如果RSVP为唯一所配置的受影响服务,只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务,则必须从所有接口禁用IPv6。 * 如果不需要基于IPv4 UDP的服务 +------------------------------------------ 仅有所有受影响的基于IPv4 UDP的服务。 禁用TACACS +--------------- 使用以下命令禁用TACACS: Router(config)#no tacacs-server host <IP-address> 或者 Router(config)#no tacacs-server administration 禁用DNS +------------ 使用以下命令禁用DNS: Router(config)#no ip dns server 禁用RSVP +------------- 使用以下命令禁用RSVP: Router(config)#interface <Interface> Router(config)#no ip rsvp bandwidth 禁用L2F/L2TP +----------------- 使用以下命令禁用L2F/L2TP: Router(config)#clear vpdn tunnel l2tp all Router(config)#no vpdn-group <group-name> Router(config)#no vpdn enable 禁用IP SLA Responder +------------------------- 使用以下命令禁用IP SLA Responder: Router(config)#no ip sla monitor responder 禁用MGCP +------------- 使用以下命令禁用MGCP: Router(config)#no mgcp 禁用SIP +------------ 使用以下命令禁用SIP: Router(config)#sip-ua Router(config-sip-ua)#no transport udp Router(config-sip-ua)#no transport tcp * 如果需要基于IPv4 UDP的服务 +--------------------------------------- 可通过部署IPv6访问控制列表(ACL)防止攻击IPv6报文到达有漏洞的UDP服务。以下示例中的ACL可阻断所有IPv6通讯到达有漏洞的服务。 Router(config)#ipv6 access-list protect_IPv4_services Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq tacacs Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq domain Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1698 Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1701 Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1967 Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 2427 Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 5060 !-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Allow all other IPv6 traffic Router(config-ipv6-acl)#permit ipv6 any 2001:db8:1:128::/64 ! ! Router(config)#interface FastEthernet0/1 Router(config-if)#ipv6 traffic-filter protect_IPv4_services in 厂商补丁: Cisco ----- Cisco已经为此发布了一个安全公告(cisco-sa-20080326-IPv4IPv6)以及相应补丁: cisco-sa-20080326-IPv4IPv6:Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers 链接:<a href=http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml target=_blank>http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml</a>
