Cisco IOS畸形IKE包远程拒绝服务漏洞

·分布式拒绝服务攻击(DDoS)原理及防范·拒绝服务攻击事件的分析及对策·拒绝服务攻击原理及解决方法·拒绝服务攻击原理及解决方法(1)·分布式拒绝服务（DDoS）攻击工具分析 -- ·百花齐放拒绝服务攻击(DDOS)现状分析·分布式拒绝服务（DDoS）攻击工具基本技术·遭受拒绝服务攻击事件的分析及对策·分布式拒绝服务攻击(DDoS)原理及防范(1)·拒绝服务攻击原理及解决方法详解

信息提供：

安全公告（或线索）提供热线：[email protected]

漏洞类别：

远程拒绝服务漏洞

攻击类型：

远程攻击

发布日期：

2004-04-08

更新日期：

2004-04-14

受影响系统：

Cisco IOS 12.2 ZACisco IOS 12.2 SYCisco IOS 12.2 SXBCisco IOS 12.2 SXACisco IOS 12.2 (17a)SXACisco IOS 12.2 (14)ZA2Cisco IOS 12.2 (14)ZACisco IOS 12.2 (14)SY

安全系统：

Cisco IOS 12.2 (17d)SXBCisco IOS 12.2 (17b)SXACisco IOS 12.2 (14)ZA8Cisco IOS 12.2 (14)SY03

漏洞报告人：

Cisco Security Advisory

漏洞描述：

BUGTRAQ ID: 10083Cisco IOS是部署非常广泛的网络操作系统。很多Cisco设备都运行IOS。Cisco IOS的VPN服务模块不正确处理畸形IKE包，远程攻击者可以利用这个漏洞对CISCO设备进行拒绝服务攻击。Cisco IP Security (IPSec) VPN模块是Cisco Catalyst 6500交换机和Cisco 7600系列Internet路由器高速模块，提供架构集成的IPSec VPN服务。一个畸形的IKE包可导致安装了VPNSM的Cisco Catalyst 6500交换机和Cisco 7600系列Internet路由器崩溃并重载。

测试方法：

无

解决方法：

Cisco已经为此发布了一个安全公告（cisco-sa-20040408-vpnsm）以及相应补丁:cisco-sa-20040408-vpnsm：Cisco IPSec VPN Services Module Malformed IKE Packet Vulnerability链接：http://www.cisco.com/warp/public/707/cisco-sa-20040408-vpnsm.shtml补丁下载：Cisco 12.2SXA版本需升级到12.2(17b)SXA及之后版本。Cisco 12.2SXB版本需升级到12.2(17d)SX及之后版本。Cisco 12.2SY版本需升级到12.2(14)SY03及之后版本。Cisco 12.2ZA版本需升级到12.2(14)ZA及之后版本。拥有服务合同的客户必须连接他们常规升级渠道获得由此公告指定的免费升级软件。对于大多数拥有服务合同的客户，这意味着升级必须通过CISCO全球WEB站软件中心获得：http://www.cisco.com/tacpage/library/12.2/index.shtml. 要访问此下载URL，你必须是注册用户和必须登录后才能使用。事先或目前与第三方支持组织，如Cisco合作伙伴、授权零售商或服务商之间已有协议，由第三方组织提供Cisco产品或技术支持的用户可免费获得升级支持。直接从Cisco购买产品但没有Cisco服务合同的用户和由第三方厂商购买产品但无法从销售方获得已修复软件的用户可从Cisco技术支持中心(TAC)获取升级软件。TAC联系方法：* 1 800 553 2447 (北美地区免话费)* 1 408 526 7209 (全球收费)* e-mail: [email protected]查看 http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml 获取额外的TAC联系信息，包括特别局部的电话号码，各种语言的指南和EMAIL地址。