Haavoittuvuuksia Cisco IOS -ohjelmistoissa

Cisco IOS -ohjelmistolla varustetuista verkkolaitteista on löydetty kolme palvelunestohaavoittuvuutta.

Ensimmäinen haavoittuvuuksista on BGP (Border Gateway Protocol) -protokollan käsittelyssä. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä reitittimelle tietyllä tapaa muokattu BGP-paketti, mikä aiheuttaa uudelleen käynnistymisen. Toinen haavoittuvuuksista liittyy IPv6-pakettien käsittelyyn. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä verkkolaitteelle tietyllä tapaa muokattuja IPv6 paketteja, mistä voi olla seurauksena laitteen uudelleen käynnistyminen. Kolmas haavoittuvuuksista liittyy MPLS (Multi Protocol Label Switching) -toiminnallisuuteen.

Varoituksen kohderyhmä

Ensimmäinen haavoittuvuus:

  • BGP-protokollaa tukevat Cisco IOS -käyttöjärjestelmällä varustetut reitittimet

  • Haavoittuvuuden hyväksikäyttö vaatii, että toiminto bgp log-neighbor-changes on käytössä. Toiminto on oletusarvoisesti aktivoitu IOS-versioissa 12.0(22)S, 12.0(11)ST, 12.1(10)E, 12.1(10) ja näitä myöhemissä versioissa.

Toinen haavoittuvuus:

  • Cisco IOS-käyttöjärjestelmällä varustetut verkkolaitteet, joissa on IPv6 konfiguroitu käyttöön

Kolmas haavoittuvuus:

  • MPLS-toiminnallisuutta tukevat Cisco IOS -käyttöjärjestelmät

  • Haavoittuvuuden hyväksikäyttö vaatii, ettei MPLS TE -toiminnallisuutta ole aktivoitu

Tarkemmat tiedot haavoittuvista verkkolaitteista ja IOS-versioista on saatavilla valmistajan julkaisemista turvatiedotteista.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva IOS-versio valmistajan ohjeiden mukaan.

Ensimmäiseltä haavoittuvuudelta voidaan suojautua myös poistamalla käytöstä bgp log-neighbor-changes -toiminto. Toiselta haavoittuvuudelta voidaan suojautua poistamalla verkkolaitteelta käytöstä IPv6-tuki. Kolmannelta haavoittuvuudelta voidaan puolestaan suojautua käyttöön ottamalla MPLS TE -toiminnallisuus.

Lisätietoa

http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml

http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml

http://www.kb.cert.org/vuls/id/689326

http://www.kb.cert.org/vuls/id/472582

http://www.kb.cert.org/vuls/id/583638

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248