思科曝出88款網路產品存在Linux DoS漏洞
思科(Cisco)本週釋出安全公告,警告旗下采用Linux作業系統核心的網路產品存在名為FragmentStack的阻斷服務(Denial of Service,DoS)的漏洞,影響路由器、交換器等88項產品,導致系統停止迴應。
代號為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC揭露,影響Linux核心3.9以上版本。 遠端攻擊者可傳送低速的惡意IP封包,影響資料片段重組(fragment reassembly)過程引發DoS攻擊,使CPU容量超載而導致系統停止迴應。 這種手法已經流行數年,也已有修補程式。
之前FragmentSmack隻影響Windows系統,最新漏洞則連Linux也遭殃。Akamai、Amazon、Juniper Networks及Linux廠商也相繼釋出修補程式。
思科隨後調查旗下使用Linux核心3.9版以上的產品,並於本週公佈受影響產品名單。 包括Cisco IOS XE軟體、多款vEdge路由器系列、Nexus交換機系列和Aironet AP產品等網路及管理裝置、Telepresence視訊產品、WLAN裝置共88項產品受到影響。
鑑於涉及到的產品線不同,補丁預計會在2018年9月到2019年2月之間陸續發出。而在此之前,思科建議網管人員使用限速措施,如訪問控制列表(ACL)或CoPP(Control Plane Policing)來控制進入的IP封包片段。另外,使用外部防火牆或網站前端裝置中的ACL也能有效控制IP片段的進入,算是臨時的安全防護方案吧。