思科本周发布安全公告,警告其采用Linux操作系统核心的产品,存在名为FragmentStack的拒绝服务(DoS)的漏洞,影响路由器、交换机等88项产品,导致系统停止响应。
代号为CVE-2018-5391的FragmentSmack在8月首次为CERT/CC披露,影响Linux核心3.9以上版本。远程攻击者可传送低速的恶意IP封包,影响数据碎片重组(fragment reassembly)过程引发DoS攻击,使CPU容量超载而导致系统停止响应。这种手法已经流行数年,也已有补丁程序。
之前FragmentSmack只影响Windows系统,最新漏洞则牵连Linux。Akamai、亚马逊、瞻博网络及Linux厂商也相继发布补丁程序。
思科随后调查其使用Linux核心3.9版以上的产品,并于本周公布受影响产品名单。包括Cisco IOS XE软件、多款vEdge路由器系列、Nexus交换机系列和Aironet AP产品等网络及管理设备、Telepresence视频产品、WLAN设备共88项产品受到影响。
视不同产品线而定,补丁程序预计2018年9月到2019年2月间陆续推出。在此之前,思科建议网管使用限速措施,如访问控制表(access control list, ACL)或CoPP(Control Plane Policing)来管控流入的IP封包。另外,使用外部防火墙或网站前端设备使用基础架构的ACL也能有效控制流入受影响设备的IP片段。
留言与评论(共有 0 条评论) |