聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周,思科发布补丁,修复了位于ASR 9000、ASR 9902和ASR 9903系列企业路由器的 IOS XR软件中的高危DoS漏洞 (CVE--9)。
该漏洞的CVSS评分为8.6,影响该平台的双向转发检测 (BFD) 硬件卸载特性,无需认证即可遭远程利用。
在启用BFD硬件卸载特性的易受攻击的设备上,异常BFD 数据包被不正确地处理,导致攻击者向已配置的 IPv4 地址发送构造的IPv4 BFD数据包,触发该漏洞。
思科在安全公告中解释称,“成功的exploit可导致攻击者引起线卡异常或硬重置,导致线卡重新加载时该线卡上的流量丢失。”思科建议禁用BFD硬件卸载特性作为应变措施,即删除所有的 hw-module bfw-hw-offload enable命令并重置线卡。
该漏洞影响安装了Lightspeed 或基于Lightspeed-Plus的线卡的 ASR 9000系列聚合服务路由器、ASR 9902和ASR 9903紧凑型高性能路由器。该漏洞的补丁已包含在IOS XR软件版本 7.5.3、7.6.2和7.7.1。
本周,思科修复了IOS XR软件GRUB中的信息泄露漏洞CVE--4,具有物理访问设备权限的未认证攻击者利用。思科指出,尚未发现漏洞遭在野利用的迹象。更多详情可参考思科的产品安全页面。
代码卫士试用地址:
开源卫士试用地址:
推荐阅读
奇安信入选全球《软件成分分析全景图》代表厂商
思科多款IP电话存在严重的Web UI RCE漏洞,有一个将不修复
思科开源杀软ClamAV中存在严重的RCE漏洞
命令注入漏洞可导致思科设备遭接管,引发供应链攻击
思科提醒:很多严重漏洞已遭利用
原文链接
/vulnerability-exposes-cisco-enterprise-routers-to-disruptive-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个“在看” 或 "赞” 吧~
如果觉得《思科企业路由器受高危DoS漏洞影响》对你有帮助,请点赞、收藏,并留下你的观点哦!
