-----Original Message----- From: Dmitry Kohmanyuk Дмитрий Кохманюк [mailto:dk@farm.org] Sent: Thursday, July 17, 2003 7:49 AM To: uanog@uanog.kiev.ua Subject: [uanog] Re: very serious cisco vulnerability
On Thu, Jul 17, 2003 at 07:09:49AM +0300, igor@ktts.kharkov.ua wrote:
primerno 2.5 mesyatsa nazad my zakonchili ocherednoj upgrade IOS vo vsej nashej ne malen'koj seti. ne proshlo i nedeli kak vsplyla cisco s rekomendatsiej *nemedlenno* upgradit'sya na sled. versiyu. my, estestvenno, stali nedoumevat': da vy chto, okhreneli? my zh tol'ko chto upgrade zakonchili. oni togda priznalis', chto obnaruzhili v IOS *takoj* bug, o kotorom skazat' ne mogut, no esli ne khotim nepriyatnostej na popu, to nado upgradit'sya. :D
security шантаж называется ;_)
segodnya vecherom oni ego taki opublikovali: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
я так понимаю, что дырка только в CPU-routed траффике дл я самого роутера? то есть если траффик транзитный или его обрабатывает кар та (как там оно называется в циске... hardware-switched, что ли?) то это неактуально?
К примеру, туннели на cisco process-switched ...
primechatel'no to, chto oni rekomendujut ACLs as workaround, kotorye na nekotorykh platformakh prosto protivopokazany.
типа закрыть на вход все пакеты для management адресов, или поставить входной ACL на самих роутерах? а что тут такого? а вообще - хороший повод купить новое железо 36xx серии ;)
о, еще один workaround, не упомянутый cisco - не включат ь ipv4 на самих роутерах, оставить только ipv6...
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml Summary Cisco routers and switches running Cisco IOSR software and configured to process Internet Protocol version 4 (IPv4) packets are vulnerable to a Denial of Service (DoS) attack. A rare sequence of crafted IPv4 packets sent directly to the device may cause the input interface to stop processing traffic once the input queue is full. No authentication is required to process the inbound packet. Processing of IPv4 packets is enabled by default. Devices running only IP version 6 (IPv6) are not affected. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A workaround is available.
интересно, работает ли у них tftp и rshell через ipv6?
А у кого BGP в канале на провайдера, тем чего делать? :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message