On Thu, Jul 17, 2003 at 07:09:49AM +0300, igor@ktts.kharkov.ua wrote:
primerno 2.5 mesyatsa nazad my zakonchili ocherednoj upgrade IOS vo vsej nashej ne malen'koj seti. ne proshlo i nedeli kak vsplyla cisco s rekomendatsiej *nemedlenno* upgradit'sya na sled. versiyu. my, estestvenno, stali nedoumevat': da vy chto, okhreneli? my zh tol'ko chto upgrade zakonchili. oni togda priznalis', chto obnaruzhili v IOS *takoj* bug, o kotorom skazat' ne mogut, no esli ne khotim nepriyatnostej na popu, to nado upgradit'sya. :D
security шантаж называется ;_)
segodnya vecherom oni ego taki opublikovali: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
я так понимаю, что дырка только в CPU-routed траффике для самого роутера? то есть если траффик транзитный или его обрабатывает карта (как там оно называется в циске... hardware-switched, что ли?) то это неактуально?
primechatel'no to, chto oni rekomendujut ACLs as workaround, kotorye na nekotorykh platformakh prosto protivopokazany.
типа закрыть на вход все пакеты для management адресов, или поставить входной ACL на самих роутерах? а что тут такого? а вообще - хороший повод купить новое железо 36xx серии ;) о, еще один workaround, не упомянутый cisco - не включать ipv4 на самих роутерах, оставить только ipv6... интересно, работает ли у них tftp и rshell через ipv6?
P.S. ne podumajte chto zanimayus' reklamoj, no ochen' rekomenduju Juniper. bug'ov na nes-ko poryadkov men'she chem u Cisco, priyaten v ispol'zovanii, men'she hidden commands, unbeatable support, i JunOS sdelana iz FreeBSD 4, kotoroe bol'shinstvo zdes' prisutstvujuschikh ves'ma lyubit :-) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message