思科本周发布安全建议由于其NX-OS操作系统中的一个漏洞,驱动其Nexus数据中心交换机的软件。雷竞技电脑网站该报告称,该漏洞可能会让交换机受到拒绝服务(DoS)攻击。
具体来说,故障会影响思科Nexus 1000 v,5000和7000雷竞技电脑网站数据中心交换机。如果这些交换机运行的是受影响的NX-OS软件版本,那么当IP栈处理一个格式错误的数据包并需要从数据包中获取第4层UDP或TCP信息时,就可能导致它们重新加载。
在第一个固定发布版本之前的NX-OS软件版本会受到影响。思科表示,他们发布了免费软件更新来解决这个漏洞。该警告包括受影响的NX-OS操作系统及其相关修复版本的列表;没有变通的办法。
该漏洞存在于操作系统的IP堆栈中,因此任何利用IP堆栈提供的服务来处理IP包的特性都会受到影响。咨询提供了下列可能引发漏洞的情况:
- 通常会通过该开关将被传送的格式不正确的,中转IP分组被接收和时间的生存期(TTL)为1。在这种情况下,需要生成一个ICMP错误消息(时间超出)。在此产生ICMP消息的,错误可能被触发。
- 正在使用基于策略的路由,为了做出路由决策,需要解析传入的包。如果数据包是一个畸形的TCP段,并且路由策略使用TCP信息进行路由决策,那么就会触发这个错误。
- 将出口访问控制列表(ACL)应用于接口,并接收到需要通过该接口转发的格式错误的IP包。
思科警告说,需要访问畸形IP包的第4层信息的其他情况也可能导致漏洞被触发。建议中说,通过交换机的过境流量和目的地流量都可能触发这种行为。具有已配置IP地址的Nexus交换机受到该漏洞的影响,即使该IP地址仅用于管理,并且如果该交换机被配置为纯第二层设备,没有第3层包转发。
重装漏洞的二次开发可能会导致持续的DoS状态思科的咨询报告称。
思科表示,其产品安全事件响应团队(PSIRT)不知道有任何公开声明或恶意使用该漏洞。美国cert也对其进行了标记在这里。
思科表示,该漏洞是在处理客户支持案例时发现的。
思科发布一系列的警告去年秋天,苹果发布了IOS软件的漏洞。
更多来自思科子网:
钱伯斯:思科Q1业绩不错,但接入路由器比较落后,Nexus 7000落后
遵守所有思科子网博客在T 惠。Jim Duffy在推特上说遵循