当前位置:主页 > 新闻资讯 > 思科曝出88款网络产品存在Linux DoS漏洞

思科曝出88款网络产品存在Linux DoS漏洞

中关村在线2018-09-28 11:24点击:

思科曝出88款网络产品存在Linux DoS漏洞


思科(Cisco)本周发布安全公告,警告旗下采用Linux操作系统核心的网络产品存在名为FragmentStack的阻断服务(Denial of Service,DoS)漏洞,可影响路由器、交换器等 88 款产品,导致系统停止响应。

思科曝出 88 款网络产品存在Linux DoS漏洞

代号为CVE-2018- 5391 的FragmentSmack在 8 月间首次为CERT/CC机构揭露,覆盖Linux核心3. 9 以上版本。远程攻击者可传送低速的恶意IP封包,影响数据片段重组(fragment reassembly)过程进而引发DoS攻击,使CPU容量超载而导致系统挂掉。不过此种手法已流行了数年,亦有专门的更新程序推出。

最初FragmentSmack只影响Windows系统,然而最新的变种则会让Linux也中招。目前Amazon、Juniper Networks及Linux厂商相继推出了针对性补丁程序。

随后思科开始核查旗下采用Linux核心3. 9 版以上的产品,并于本周公布受影响产品名单。现在已知的是,包括Cisco IOS XE软件、多款vEdge路由器系列、Nexus交换机系列和Aironet AP产品等网络及管理设备、Telepresence视讯产品、WLAN设备共 88 项产品受到影响。

鉴于涉及到的产品线不同,补丁预计会在 2018 年 9 月到 2019 年 2 月之间陆续推出。而在此之前,思科建议网管人员使用限速措施,如访问控制列表(ACL)或CoPP(Control Plane Policing)来控制进入的IP封包片段。另外,使用外部防火墙或网站前端设备中的ACL也能有效控制IP片段的进入,算是临时的安全防护方案吧。