思科正在告知其Nexus core数据中心交换机的客户修复或解决一个可能导致服务器遭受拒绝服务攻击的漏洞。
的在Nexus NX-OS软件中发现的漏洞在普通漏洞评分系统中获得8.6分(满分10分),属于“高风险”问题。
思科表示,该漏洞是由于一台受影响的设备意外地进行了加密处理IP-in-IP包指定到本地配置的IP地址的。IP中的IP是一个隧道协议,它将一个IP包包在另一个IP包中。
“成功的利用可能导致受影响的设备意外地解密IP-in-IP包并转发内部IP包。”这可能导致IP包绕过在受影响设备上配置的输入访问控制列表(ACLs)或在网络其他地方定义的其他安全边界,”Cisco声明。“在某些条件下,漏洞可能导致网络堆栈进程崩溃并重启多次,导致受影响的设备重新加载并出现DoS情况。”
该漏洞影响了从VMware vSphere的Nexus 1000虚拟边缘到Nexus 9000系列的各种Nexus交换机。
思科表示,一个解决方案是配置基础设施访问控制列表(iACLs),只允许所需的管理和控制飞机流量到达受影响的设备,这是在the保护NX-OS软件设备的Cisco指南。
如果在他们的网络中没有使用合法的IP-in-IP流量,客户也可以考虑明确地拒绝所有协议编号为4的IP数据包(对应IP-in-IP数据包)作为其iACLs的一部分。还可以使用定制的控制飞机监控(CoPP)策略来减少指向受影响设备的IP-in-IP流量;然而,对CoPP定制的支持因不同的Nexus平台和软件版本而异。”
思科表示,建议客户联系他们的支持组织,以帮助评估变通方案的可行性,并在受影响的设备上实施变通方案。思科还表示,思科软件检查器识别影响特定思科NX-OS软件发布的思科安全警告,并指定最早修复每个警告中描述的漏洞的发布版本,称为“首次修复”。
此外,该公司表示已经发布免费软件更新解决了这个漏洞。