RE: Re: very serious cisco vulnerability
-----Original Message----- From: Dmitry Kohmanyuk Дмитрий Кохманюк [mailto:dk@farm.org] Sent: Thursday, July 17, 2003 7:49 AM To: uanog@uanog.kiev.ua Subject: [uanog] Re: very serious cisco vulnerability
On Thu, Jul 17, 2003 at 07:09:49AM +0300, igor@ktts.kharkov.ua wrote:
primerno 2.5 mesyatsa nazad my zakonchili ocherednoj upgrade IOS vo vsej nashej ne malen'koj seti. ne proshlo i nedeli kak vsplyla cisco s rekomendatsiej *nemedlenno* upgradit'sya na sled. versiyu. my, estestvenno, stali nedoumevat': da vy chto, okhreneli? my zh tol'ko chto upgrade zakonchili. oni togda priznalis', chto obnaruzhili v IOS *takoj* bug, o kotorom skazat' ne mogut, no esli ne khotim nepriyatnostej na popu, to nado upgradit'sya. :D
security шантаж называется ;_)
segodnya vecherom oni ego taki opublikovali: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
я так понимаю, что дырка только в CPU-routed траффике дл я самого роутера? то есть если траффик транзитный или его обрабатывает кар та (как там оно называется в циске... hardware-switched, что ли?) то это неактуально?
К примеру, туннели на cisco process-switched ...
primechatel'no to, chto oni rekomendujut ACLs as workaround, kotorye na nekotorykh platformakh prosto protivopokazany.
типа закрыть на вход все пакеты для management адресов, или поставить входной ACL на самих роутерах? а что тут такого? а вообще - хороший повод купить новое железо 36xx серии ;)
о, еще один workaround, не упомянутый cisco - не включат ь ipv4 на самих роутерах, оставить только ipv6...
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml Summary Cisco routers and switches running Cisco IOSR software and configured to process Internet Protocol version 4 (IPv4) packets are vulnerable to a Denial of Service (DoS) attack. A rare sequence of crafted IPv4 packets sent directly to the device may cause the input interface to stop processing traffic once the input queue is full. No authentication is required to process the inbound packet. Processing of IPv4 packets is enabled by default. Devices running only IP version 6 (IPv6) are not affected. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A workaround is available.
интересно, работает ли у них tftp и rshell через ipv6?
А у кого BGP в канале на провайдера, тем чего делать? :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
у них же там написан acl там где у меня важные кошки - он уже стоит сейчас доставиваю менее важные что особо противно - catalyst тоже :((( On Thu, Jul 17, 2003 at 10:21:50AM +0300, Pavel Narozhniy wrote: PN>> -----Original Message----- PN>> From: Dmitry Kohmanyuk Дмитрий Кохманюк [mailto:dk@farm.org] PN>> Sent: Thursday, July 17, 2003 7:49 AM PN>> To: uanog@uanog.kiev.ua PN>> Subject: [uanog] Re: very serious cisco vulnerability PN>> PN>> PN>> On Thu, Jul 17, 2003 at 07:09:49AM +0300, igor@ktts.kharkov.ua wrote: PN>> > primerno 2.5 mesyatsa nazad my zakonchili ocherednoj PN>> upgrade IOS vo vsej nashej ne malen'koj seti. PN>> > ne proshlo i nedeli kak vsplyla cisco s rekomendatsiej PN>> *nemedlenno* upgradit'sya na sled. versiyu. PN>> > my, estestvenno, stali nedoumevat': da vy chto, okhreneli? PN>> my zh tol'ko chto upgrade zakonchili. PN>> > oni togda priznalis', chto obnaruzhili v IOS *takoj* bug, o PN>> kotorom skazat' ne mogut, no esli ne PN>> > khotim nepriyatnostej na popu, to nado upgradit'sya. :D PN>> PN>> security шантаж называется ;_) PN>> PN>> > segodnya vecherom oni ego taki opublikovali: PN>> > http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml PN>> PN>> я так понимаю, что дырка только в CPU-routed траффике дл PN>> я самого роутера? PN>> то есть если траффик транзитный или его обрабатывает кар PN>> та (как там оно называется в циске... hardware-switched, PN>> что ли?) то это неактуально? PN>К примеру, туннели на cisco process-switched ... PN>> > primechatel'no to, chto oni rekomendujut ACLs as PN>> workaround, kotorye na nekotorykh platformakh PN>> > prosto protivopokazany. PN>> PN>> типа закрыть на вход все пакеты для management адресов, PN>> или поставить входной ACL на самих роутерах? PN>> а что тут такого? PN>> а вообще - хороший повод купить новое железо 36xx серии ;) PN>> PN>> о, еще один workaround, не упомянутый cisco - не включат PN>> ь ipv4 на самих роутерах, оставить только ipv6... PN>http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml PN>Summary PN>Cisco routers and switches running Cisco IOSR software and configured to process Internet Protocol version 4 (IPv4) packets are vulnerable to a Denial of Service (DoS) attack. A rare sequence of crafted IPv4 packets sent directly to the device may cause the input interface to stop processing traffic once the input queue is full. No authentication is required to process the inbound packet. Processing of IPv4 packets is enabled by default. PN> Devices running only IP version 6 (IPv6) are not affected. PN>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ PN> A workaround is available. PN>> интересно, работает ли у них tftp и rshell через ipv6? PN>А у кого BGP в канале на провайдера, тем чего делать? :) PN>=================================================================== PN>uanog mailing list. PN>To Unsubscribe: send mail to majordomo@uanog.kiev.ua PN>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - temporary routing anomoly =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (2)
-
Alexander Trotsai
-
Pavel Narozhniy