BUGTRAQ ID: 28461
CVE(CAN) ID: CVE-2008-1153
Cisco IOS是思科网络设备中所使用的互联网操作系统。
运行Cisco IOS软件的设备如果启用了IPv6,就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞,攻击IPv6报文必须指向设备,通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一:
这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文,直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯,直到路由项或地址解析协议(ARP)项过期(以先过期项为准)。中间通讯可能在几秒钟或4小时(ARP缓存的默认生命时间)内停止经过阻断的接口,具体取决于环境。之后没有中间通讯会通过被阻断的接口。
Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.1
临时解决方法:
如果不需要IPv6协议
±------------------------------
使用以下命令禁用IPv6:
Router(config)#interface FastEthernet0/0
Router(config-if)#no ipv6 address
或者
Router(config)#interface FastEthernet0/0
Router(config-if)#no ipv6 enable
如果RSVP为唯一所配置的受影响服务,只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务,则必须从所有接口禁用IPv6。
如果不需要基于IPv4 UDP的服务
±-----------------------------------------
仅有所有受影响的基于IPv4 UDP的服务。
禁用TACACS
±--------------
使用以下命令禁用TACACS:
Router(config)#no tacacs-server host <IP-address>
或者
Router(config)#no tacacs-server administration
禁用DNS
±-----------
使用以下命令禁用DNS:
Router(config)#no ip dns server
禁用RSVP
±------------
使用以下命令禁用RSVP:
Router(config)#interface <Interface>
Router(config)#no ip rsvp bandwidth
禁用L2F/L2TP
±----------------
使用以下命令禁用L2F/L2TP:
Router(config)#clear vpdn tunnel l2tp all
Router(config)#no vpdn-group <group-name>
Router(config)#no vpdn enable
禁用IP SLA Responder
±------------------------
使用以下命令禁用IP SLA Responder:
Router(config)#no ip sla monitor responder
禁用MGCP
±------------
使用以下命令禁用MGCP:
Router(config)#no mgcp
禁用SIP
±-----------
使用以下命令禁用SIP:
Router(config)#sip-ua
Router(config-sip-ua)#no transport udp
Router(config-sip-ua)#no transport tcp
如果需要基于IPv4 UDP的服务
±--------------------------------------
可通过部署IPv6访问控制列表(ACL)防止攻击IPv6报文到达有漏洞的UDP服务。以下示例中的ACL可阻断所有IPv6通讯到达有漏洞的服务。
Router(config)#ipv6 access-list protect_IPv4_services
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq tacacs
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq domain
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1698
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1701
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1967
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 2427
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 5060
!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Allow all other IPv6 traffic
Router(config-ipv6-acl)#permit ipv6 any 2001:db8:1:128::/64
!
!
Router(config)#interface FastEthernet0/1
Router(config-if)#ipv6 traffic-filter protect_IPv4_services in
厂商补丁:
Cisco已经为此发布了一个安全公告(cisco-sa-20080326-IPv4IPv6)以及相应补丁:
cisco-sa-20080326-IPv4IPv6:Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers
链接:<a href=“http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml” target=“_blank”>http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml</a>