大量思科设备存在IPv6死亡之Ping漏洞
思科最近向企业网管们发出警告,旗下某些网络设备在处理IPv6包时存在漏洞,该漏洞的影响范围还不仅限于思科自家的产品。
IPv6邻居发现漏洞安全预警
这是个有关IPv6邻居发现包的漏洞,思科发布的安全预警对此进行了详细的解释( 点击这里 )。 该漏洞可能会导致远程未授权DoS攻击的产生 ——黑客可以发送恶意的IPv6邻居发现包,至存在漏洞的设备。由于这些设备“低效的处理逻辑”,在处理这样的IPv6邻居包之后,设备会停止再接收IPv6流量,导致DoS。
邻居发现协议(NDP)实际上是IPv6的一个关键协议,这也算得上相较IPv4的一个进步。如果用IPv4的思维来看,IPv6的邻居发现协议组合了IPv4的ARP、ICMP路由器发现、ICMP重定向等协议,所以其功能还是比较多样的——比如它替代了ARP协议,实现IP地址和Mac地址的对应关系。在IPv4时代是没有这种较为统一的解决方案的。
随着IPv6的广泛使用,恶意节点导致各种各样的攻击,邻居发现协议的安全性原本就很受人们关注。按照思科所说,这次发现的漏洞(CVE-2016-1409)存在于使用了思科IOS、IOS XR、IOS XE、以及NX-OS软件的设备上,只要这些设备配置了全局IPv6地址,在处理传入的流量时,漏洞就能被利用。
更悲剧的是,这个漏洞的影响范围不仅是思科自家的产品,按照思科所说, 其他厂商可能也遭到了波及。
漏洞影响和缓解方案
Switchzilla警告说:
“这个漏洞并不是思科独有的,所有在处理过程或者硬件中,无法在前期就丢弃这类数据包的IPv6处理设备,都会受到该漏洞的影响。”
思科表示,未来会在自家的产品中修复该漏洞。同时,他们也建议企业管理员在使用存在该漏洞的设备时,严格控制网络中的外来IPv6流量:
“应该将IPv6邻居发现包仅限在本地,并在网络的边界位置丢弃这些包,这么做会有助于保护企业内的基础设施。在网络边界位置丢弃这些可能产生问题的数据包,是目前普遍可行的解决方案。
或者如果有可能的话,我们可以对IPv6邻居做静态配置,并在边界设备上拒绝所有的IPv6邻居发现包,暂时遏制这个漏洞。”
目前,思科还没有针对该漏洞还放出补丁。
*参考来源: CG ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
