Cisco IOS双栈路由器IPv6拒绝服务漏洞-安全在线

Cisco IOS双栈路由器IPv6拒绝服务漏洞

作者：佚名来源：不详点击数：更新时间：2008年03月31日

发布日期：2008-03-26
更新日期：2008-03-28

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.1

描述：

BUGTRAQ  ID: 28461
CVE(CAN) ID: CVE-2008-1153

Cisco IOS是思科网络设备中所使用的互联网操作系统。

运行Cisco IOS软件的设备如果启用了IPv6，就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞，攻击IPv6报文必须指向设备，通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一：

1. 如果接口上配置了RSVP服务则设备会崩溃。
2. 任何其他受影响的基于IPv4 UDP的服务会导致接口无法接收更多的通讯，仅有利用漏洞端口才会受影响。

这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文，直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯，直到路由项或地址解析协议（ARP）项过期（以先过期项为准）。中间通讯可能在几秒钟或4小时（ARP缓存的默认生命时间）内停止经过阻断的接口，具体取决于环境。之后没有中间通讯会通过被阻断的接口。

<*来源：Cisco

  链接：http://secunia.com/advisories/29507/
        http://www.kb.cert.org/vuls/id/936177
        http://www.us-cert.gov/cas/techalerts/TA08-087B.html
        http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml
*>

建议：

临时解决方法：

* 如果不需要IPv6协议
+-------------------------------

   使用以下命令禁用IPv6：

    Router(config)#interface FastEthernet0/0
    Router(config-if)#no ipv6 address

   或者

    Router(config)#interface FastEthernet0/0
    Router(config-if)#no ipv6 enable

   如果RSVP为唯一所配置的受影响服务，只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务，则必须从所有接口禁用IPv6。

* 如果不需要基于IPv4 UDP的服务
+------------------------------------------

   仅有所有受影响的基于IPv4 UDP的服务。

   禁用TACACS
   +---------------

   使用以下命令禁用TACACS：

    Router(config)#no tacacs-server host <IP-address>

   或者

    Router(config)#no tacacs-server administration

   禁用DNS
   +------------

   使用以下命令禁用DNS：

    Router(config)#no ip dns server

   禁用RSVP
   +-------------

   使用以下命令禁用RSVP：

    Router(config)#interface <Interface>
    Router(config)#no ip rsvp bandwidth

   禁用L2F/L2TP
   +-----------------

   使用以下命令禁用L2F/L2TP：

    Router(config)#clear vpdn tunnel l2tp all
    Router(config)#no vpdn-group <group-name>
    Router(config)#no vpdn enable

   禁用IP SLA Responder
   +-------------------------

   使用以下命令禁用IP SLA Responder：

    Router(config)#no ip sla monitor responder

   禁用MGCP
   +-------------

   使用以下命令禁用MGCP：

    Router(config)#no mgcp

   禁用SIP
   +------------

   使用以下命令禁用SIP：

    Router(config)#sip-ua
    Router(config-sip-ua)#no transport udp
    Router(config-sip-ua)#no transport tcp

* 如果需要基于IPv4 UDP的服务
+---------------------------------------

   可通过部署IPv6访问控制列表（ACL）防止攻击IPv6报文到达有漏洞的UDP服务。以下示例中的ACL可阻断所有IPv6通讯到达有漏洞的服务。

    Router(config)#ipv6 access-list protect_IPv4_services
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq tacacs
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq domain
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1698
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1701
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1967
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 2427
    Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 5060

    !-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
    !-- with existing security policies and configurations
    !
    !-- Allow all other IPv6 traffic

    Router(config-ipv6-acl)#permit ipv6 any 2001:db8:1:128::/64

    !
    !

    Router(config)#interface FastEthernet0/1
    Router(config-if)#ipv6 traffic-filter protect_IPv4_services in

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080326-IPv4IPv6）以及相应补丁:
cisco-sa-20080326-IPv4IPv6：Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml

更多技术文章和教程,请您进入安全在线论坛查看.BBS.AQZX.ORG

上一篇：Cisco IOS虚拟专用拨号网络多个拒绝服务漏洞

下一篇：Quick Tftp Server Pro mode参数远程栈溢出漏洞

日历搜索

推荐栏目

Google Toolbar对话栏欺骗漏洞

微软发布12月份安全公告修复多个

MySQL服务器RENAME TABLE系统表格

5.17诺顿(Backdoor.Haxdoor)的误

Windows 2003 IIS6 .ASP目录执行

动易2006最新漏洞公告

PDF文件格式现漏洞用户电脑可被

WordPress wp-trackback.php漏洞

phpArticle2.06两个本地包含文件

phpcms 3.0.0文件上传漏洞

FreeBSD UFS文件系统本地整数溢出

热门栏目

动易2006最新漏洞公告

phpcms 3.0.0文件上传漏洞

Windows 2003 IIS6 .ASP目录执行

重庆电信开展IP地址反向解析阻止

PHP Easy Download file_infoadm

Windows Media Player ASX播放列

视频黑客盗取女子裸照敲诈勒索获

黑客远程登录盗取女子裸照进行敲

东昌中学一高考生遭遇电话黑客恶

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）



请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。本站管理员有权保留或删除评论内容。评论内容只代表网友个人观点，与本网站立场无关。

添添的断弦忧若阁	莱芜信息港	租售信息网	猎城信息网	企业信息网	前端技术论坛	学生黑客联盟
安全在线论坛	网站建设	新虎网络	竹馥堂主	WEB前端开发	您的位置	您的位置