Hi-Fi優質I.T網:?祈唳?嚙賡?forum_id=19-討論區
您尚未登入...
帳號:
密碼:

忘記密碼 
 
  訂閱電子報

取消   訂閱
 
討論區>>?祈唳?嚙賡?forum_id=19<<

 
 
發起人:
admin
中級會員
張貼時間:2005/03/30-09:20:16
   檢舉

 主題:Cisco 執行 IOS Border Gateway Protocol (BGP) 容易受到變

TW-CA>005-032-[63845: Cisco IOS Misformed BGP Packet Causes Reload]
────────────────────────────────
TWCERT/CC發布日期:2005-03>8
原漏洞發布日期:2005-01>5
原漏洞最新更新日期:2005-03>1
通用安全漏洞編號:
分類:Dos
來源參考:63845
──── 簡述 ─────────────────────────
Cisco 設備執行 IOS Border Gateway Protocol (BGP) 容易受到變形 BGP 封包的阻斷服務
攻擊。只有設定過 bgp log-neighbor-changes 指令或 snmp-server enable traps bgp 指
令的設備受到影響。BGP protocol 並非預設啟動,而是必須設定接受明確定義來源的流量
。除非惡意流量是來自這些已設定、可信任的來源,否則很難注入惡意封包。

Cisco 已針對此問題做出免費的修正軟體。

CERT/CC 將此議題列為 VU#689326 進行追蹤。

詳細內容請參閱:
http://www.cisco.com/warp/public/707/cisco-sa>0050126-bgp.shtml

──── 說明 ─────────────────────────
Border Gateway Protocol (BGP) 是由 RFC 1771 所定義的路由協定,用來管理大型網路
的 IP 路由。受影響的 Cisco 設備執行有弱點版本的 Cisco IOS 軟體並啟動 BGP 協定。
若變形的 BGP 封包已佇列在介面,當 BGP neighbor 變動被紀錄將導致系統重新載入。
設備除非已設定 bgp log-neighbor-changes 或 snmp-server traps 否則不受影響。

變形封包不一定來自於惡意的來源。經過驗證的設備(例如另一台 BGP speaking 路由器
)可能由於錯誤而產生特定變形封包來觸發這樣的行為。

在各種情況下,封包必須來自於明確設定好的 IP 位址。

BGP 執行於 TCP 協定上,在進一步訊息被接受前,需透過合法三方交握。Cisco IOS 在連
結建立前需明確定義相鄰路由器,且流量必須來自這些相鄰路由器,才可實作 BGP。此種方
式讓從一個未經認證的來源惡意送出 BGP 封包給 Cisco IOS 設備變得非常困難。

此漏洞也可能透過其他非遠端利用方式觸發。若設備接收到變形封包,利用 show ip bgp
neighbors 或 debug ip bgp 可導致路由器重新載入。

此外,使用 SNMP 管理站取得 SNMP Object Identifier (OID) bgpPeerEntry.bgpPeerLastError
(1.3.6.1.2.1.15.3.1.14) 可能導致設備重設。
這只發生在設備接收變形封包及 BGP session 重設後。

Cisco IOS 設備接收無效的 BGP 封包將重設,並可能要花好幾分鐘來恢復功能。此弱點可
能遭受重複利用導致阻斷服務攻擊,此問題紀錄於 bug ID CSCee67450 中。

Cisco IOS XR 設備將重新開始 BGP 程序。所有的 session 將被丟棄及 BGP 程序將重建所
有 session。沒有其他路由協定會受到影響。

若啟動 graceful restart,forwarding 可能會被影響。

在 IOS XR 中 BGP 並非預設,除非使用者明確的設定 BGP 程序,否則 IOS XR 設備
將不會重新載入。

──── 影響平台 ───────────────────────
這個弱點出現在任何會修補的 Cisco IOS 版本中,從開始支援 BGP 協定包含版本 9.x, 10
.x, 11.x and 12.x。這個問題影響所有設定來支援 BGP 路由的 Cisco 設備及被設定 bgp
log-neighbor-changes 指令或 snmp-server enable traps bgp。bgp log-neighbor-changes
指令只預設於 12.0(22)S, 12.0(11)ST, 12.1(10)E, 12.1(10) 及之後的軟體。

Cisco IOS XR 亦受影響。

執行 BGP 程序的路由器,於設定檔中有下面這行:
router bgp

為了使設備受到影響,必需啟動下面的設定指定:
bgp log-neighbor-changes 或 snmp-server enable traps bgp

──── 修正方式 ───────────────────────
- -- 取得修正軟體

用戶可透過 Cisco 網站取得更新軟體
http://www.cisco.com/

Cisco 合作廠商、經銷商或各服務據點可提供 Cisco 產品用戶免費更新服務。
直接向 Cisco 購買但沒有保留服務契約的客戶,或是像其他廠商購買產品但無法順利取得
修正軟體的客戶,可連絡 Cisco 技術支援中心(TAC),聯絡方式如下:
+1 800 553 2447 (北美免付費專線)
+1 408 526 7209 (全球免付費專線)
e-mail: tac@cisco.com
TAC 聯絡資訊請參閱 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

──── 影響結果 ───────────────────────
成功的利用這個 IOS 設備上的弱點將導致是設備重新載入。
重複的利用將導致持續的阻斷服務攻擊。

成功的利用在 IOS XR 設備上的點將導致 BGP 重新啟動。
重複的利用將導致針對 BGP 功能持續的阻斷服務攻擊
,其他在設備上的服務不會被影響。

──── 聯絡TWCERT/CC ────────────────────
Tel: 886-7-5250211 FAX: 886-7-5250212
886>>3563303 886>>3924082
Email: twcert@cert.org.tw
URL: http://www.cert.org.tw/
PGP key: http://www.cert.org.tw/eng/pgp.htm

────────────────────────────────

簽名
-===== 路是人走出來的=====-

 



 

Hi-Fi優質I.T網”站內所有文章、圖片除特別加註外均屬本站所有,如有任何問題請來信告知
請支持言論自由,討論區所發表之言論不代表本站立場
Hi-Fi優質I.T網”版權所有2004©
---最佳顯示效果1024*768---