Cisco предупреждает о слабости

Cisco предупреждает о слабости безопасности коммутатора Nexus

Программное обеспечение Cisco Nexus NS-OS может быть использовано для создания атаки DOS.

 

Cisco говорит клиентам о своих основных коммутаторах центра обработки данных Nexus, чтобы исправить или обойти уязвимость, которая может оставить блоки открытыми для атаки отказа в обслуживании.

Уязвимость, найденную в программном обеспечении NS-OS Nexus получает 8,6 баллов из 10 на общей уязвимости Scoring System, что делает его «High» проблема риска.

Cisco говорит, что уязвимость вызвана тем, что уязвимое устройство неожиданно декапсулирует и обрабатывает пакеты IP-in-IP , предназначенные для локально настроенного IP-адреса. IP in IP - это туннельный протокол, который оборачивает IP-пакет в другой IP-пакет.

«В результате успешного использования уязвимое устройство может неожиданно декапсулировать пакет IP-in-IP и переслать внутренний IP-пакет. Это может привести к тому, что IP-пакеты будут обходить входные списки контроля доступа (ACL), настроенные на уязвимом устройстве, или другие границы безопасности, определенные в других местах сети », - заявила Cisco. «При определенных условиях эксплойт может вызвать сбой и перезапуск процесса сетевого стека несколько раз, что приведет к перезагрузке уязвимого устройства и состоянию DoS».

Уязвимость затрагивает множество коммутаторов Nexus от Nexus 1000 Virtual Edge для VMware vSphere до серии Nexus 9000.

Cisco заявила, что обходной путь заключается в настройке списков контроля доступа к инфраструктуре (iACL), чтобы позволить только требуемому трафику управления и трафика управления достигать уязвимого устройства, как рекомендуется в Руководстве Cisco по защите программных устройств NX-OS

«Клиенты могут также рассмотреть возможность явного отклонения всех IP-пакетов с протоколом № 4 (соответствующих пакетам IP-in-IP) в составе своих iACL, если в их сети не используется законный трафик IP-in-IP. Настроенная политика политик плоскости управления (CoPP) также может использоваться для отбрасывания трафика IP-in-IP, который направляется на уязвимое устройство; однако поддержка настройки CoPP варьируется в зависимости от платформы Nexus и версий программного обеспечения ».

По словам Cisco, клиентам рекомендуется обращаться в свою службу поддержки за помощью в оценке возможности обходного пути и его реализации на уязвимом устройстве. Cisco также сообщила, что средство проверки программного обеспечения Cisco идентифицирует рекомендации по безопасности Cisco, которые влияют на конкретные выпуски программного обеспечения Cisco NX-OS, и называет самый ранний выпуск, который устраняет уязвимости, описанные в каждой рекомендации, и называется «Первое исправление».

Кроме того, компания заявила, что выпустила бесплатные обновления программного обеспечения , направленные на устранение этой уязвимости.

Коментарии (0)

Здесь пока нет никаких комментариев

Оставьте свои комментарии

  1. Оставить коментарий как гость.
Вложения (0 / 3)
Share Your Location