Catalyst 6500和Cisco系列环回地址漏洞

| 网站首页 | 资讯 | 技术中心 | 下载 | 图片 | 影视一区 | 影视二区 | 影视三区 | 迅雷电影 | 电视 | 电子书 | 论文 | 电脑之家影院 |

您现在的位置：电脑之家 DNZJ.NET >> 技术中心 >> 安全技术 >> 杀毒技术 >> 文章正文

Catalyst 6500和Cisco系列环回地址漏洞

【字体：小大】

作者：网虫文章来源：网络点击数：更新时间：2008-7-2

受影响系统：

Cisco Catalyst 6500

Cisco 7600

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25822

Cisco Catalyst是一系列由Cisco公司发表和维护的商业级别交换机。

Catalyst 6500和Cisco 7600系列设备在处理环回地址时存在漏洞，远程攻击者可能利用此绕过某些验证获得非授权访问。

Catalyst 6500和Cisco 7600系列设备使用以太网带外信道（EOBC）中127.0.0.0/8（环回）范围的地址进行内部通讯，可以从系统外部访问EOBC中所使用的这个范围的地址。Supervisor模块、多层交换功能卡（MSFC）或任何其他智能模块可能接受并处理目标为127.0.0.0/8网络的报文，攻击者可以利用这种行为绕过没有过滤127.0.0.0/8地址范围的访问控制列表，但无法绕过认证或授权。

<*来源：Lee E. Rian

链接：http://www.cisco.com/warp/public/707/cisco-sr-20070926-lb.shtml

http://secunia.com/advisories/26988/

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 应用访问控制列表过滤到127.0.0.0/8地址范围的报文：

ip access-list extended block_loopback
deny ip any 127.0.0.0 0.255.255.255
permit ip any any

interface Vlan x
ip access-group block_loopback in

* 应用以下控制面整型（CoPP）：

!-- Permit all traffic with a destination IP
!-- addresses in the 127.0.0.0/8 address range sent to
!-- the affected device so that it will be policed and
!-- dropped by the CoPP feature
!

access-list 111 permit icmp any 127.0.0.0 0.255.255.255
access-list 111 permit udp any 127.0.0.0 0.255.255.255
access-list 111 permit tcp any 127.0.0.0 0.255.255.255
access-list 111 permit ip any 127.0.0.0 0.255.255.255

!
!-- Permit (Police or Drop)/Deny (Allow) all other Layer3
!-- and Layer4 traffic in accordance with existing security
!-- policies and configurations for traffic that is authorized
!-- to be sent to infrastructure devices
!
!-- Create a Class-Map for traffic to be policed by the
!-- CoPP feature
!

class-map match-all drop-127/8-netblock-class
match access-group 111

!
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
!

policy-map drop-127/8-netblock-traffic
class drop-127/8-netblock-class
police 32000 1500 1500 conform-action drop exceed-action drop

!
!-- Apply the Policy-Map to the Control-Plane of the
!-- device
!

control-plane
service-policy input drop-127/8-netblock-traffic

厂商补丁：

Cisco

-----

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/warp/public/707/advisory.html

(责任编辑：李磊)

文章录入：admin 责任编辑：admin

上一篇文章： ebCrypt ActiveX 控件任意文件覆盖漏洞

下一篇文章：小心可疑.exe文件　可能为Clspring病毒体

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				ebCrypt ActiveX 控件任意文深入剖析：Windows Vista音量怕忘掉Vista密码？再谈U盘创《互联网进化断代史》：Vist Windows Vista有趣标签SID Windows Vista操作系统快捷键在Vista中“榨出”SATA硬盘性三招两式，“驯服”Vista网上 Windows XP启动管理搞定Vist 在虚拟机中运行Windows Vist

　　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

您好！我是网虫，欢迎来到电脑之家做客，愿您在这里与知音相遇。建议使用 IE 6.0 以上，1024*768 分辨率全屏观看。

‖设为首页‖加入收藏‖联系站长‖友情链接‖版权申明‖后台管理‖