思科系统(Cisco Systems)发布了用于路由器、交换机和其他网络设备的IOS软件的安全更新,以修复7个漏洞,这些漏洞可能会被攻击者利用,影响受影响设备的性能或迫使它们重启。
新发布的IOS版本包含了两个漏洞的补丁,这些漏洞是在路由场景中经常使用的网络地址转换(NAT)功能中发现的。一个漏洞可以通过发送错误的DNS数据包来被受影响的设备处理和翻译来利用,另一个漏洞可以通过发送特定的TCP数据包序列来利用。
“要确定思科IOS软件配置中是否启用NAT,请登录设备并发出‘显示ip NAT统计’命令,”思科在声明中说安全咨询周三公布的。如果NAT是活动的,“外部接口”和“内部接口”这两个部分将分别包含至少一个接口。
该建议包含一个表,列出了受影响的IOS版本和相应的补丁版本。思科IOS XR和IOS XE系列软件不受这两个NAT漏洞的影响。
在思科IOS和思科IOS XE软件的IP version 6 (IPv6)协议栈实现中,一个单独的漏洞被发现并修补。一个远程的,未经身份验证的攻击者可以利用这个漏洞,通过发送畸形的IPv6数据包来触发I/O(输入/输出)内存消耗。思科表示,这将导致设备变得不稳定,需要重新加载一个顾问。
思科IOS和IOS XE也发布了更新,以修复该软件的互联网密钥交换版本2 (IKEv2)模块中的一个漏洞。这个漏洞可以被利用,以触发设备重新加载发送专门精心设计的IKEv2包给它。
IKEv2用于许多不同的功能,包括几种类型的VPNs(虚拟专用网络)。然而,“设备不需要配置任何ikev2特有的功能就会受到攻击,”思科在报告中说一个顾问。
在Cisco IOS软件的安全套接字层(SSL) VPN子系统中发现了另一个漏洞并进行了修补。该漏洞允许攻击者通过提交精心设计的HTTPS请求来消耗受影响设备的内存。这可能会影响设备的性能,可能会导致某些进程失败或导致设备重新启动。
“要确定一个设备是否启用了WebVPN,首选的方法是发出‘show WebVPN网关’EXEC命令,”思科说一个顾问。“如果设备正在运行易受攻击的软件,且配置中列出了任何已配置网关的管理和操作状态,则设备会受到影响。”
思科IOS XE和思科IOS XR软件不受此漏洞影响,思科ASA 5500系列自适应安全设备也不受此漏洞影响。
第六,在Cisco IOS和Cisco IOS XE的会话启动协议(SIP)实现中发现了漏洞。SIP被广泛用于建立多媒体通信,如在Internet上进行语音和视频呼叫。
思科在声明中表示,该漏洞仅影响配置为处理SIP消息和运行Cisco IOS 15.3(3)M和15.3(3)M1或Cisco IOS XE 3.10.0和3.10.1S1的设备一个顾问。该漏洞在Cisco IOS 15.3(3)M2和Cisco IOS XE 3.10.2中得到了解决。
周三最后一个被修补的拒绝服务漏洞只影响运行在具有10千兆以太网上行链路的Cisco 7600系列路由交换机处理器720上的RSP720-3C-10GE和RSP720-3CXL-10GE上的IOS软件。
思科在声明中表示,该漏洞是由2.6版本之前的Kailash板载FPGA版本的问题造成的一个顾问。攻击者可以利用这一漏洞,向受影响的设备发送精心设计的IP包或通过该设备发送数据包。一个漏洞可能允许攻击者导致路由处理器不再转发流量或重新启动。”
该报告包含一个表,列出了易受攻击的IOS软件版本以及相应的补丁版本。思科IOS XE和IOS XR软件不受此漏洞影响。