English

◀◁ 뒤로 취약점ID 29051 위험도 20 포트 161 프로토콜 UDP 분류 CISCO 상세설명 해당 CISCO IOS는 ARP 테이블 덮어쓰기 취약점(CISCO 버그 ID CSCdu81936)을 가지고 있다. 이 취약점은 일단 ARP 테이블 엔트리가 타임 아웃(time out)되면 라우터의 서비스 거부(DoS) 상태를 초래한다. 그러나, 이 취약점을 도용하여 장비에 저장된 정보의 기밀성(confidentiality)이 깨지거나 코드를 삽입하는 행위는 할 수 없다. 이 취약점을 이용한 공격은 단지 공격자나 공격자 호스트와 동일한 로컬 세그먼트 상의 장비에 대해서만 성공할 수 있다. 일부 특정한 CISCO IOS 소프트웨어 버전이 설치된 라우터나 스위치는 로컬 브로드캐스트 인터페이스(예를 들어, Ethernet, cable, Token Ring FDDI)를 통해서 ARP 패킷을 전송할 경우 로컬 라우터 인터페이스 상에서 ARP 패킷의 송수신이 중단된다. 또한, 라우터는 자신의 인터페이스 주소나 글로벌 NAT 엔트리에 속한 주소와 관련된 ARP 요청/응답 패킷을 받을 때, 그 패킷의 MAC 주소가 상이한 경우 받은 ARP 요청/응답 패킷의 정보를 통해 라우터의 ARP 테이블을 덮어쓰기(overwrite)한다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml http://www.kb.cert.org/vuls/id/399355 * 영향을 받는 플랫폼: Cisco IOS 모든 버전 해결책 다음 CISCO 보안 권고안의 "Software Versions and Fixes"를 참조하여 시스템에 적절한 CISCO IOS 버전으로 업그레이드 하여야 한다: http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml 임시 조치방법으로, 다음 명령을 사용해서 ARP 테이블 엔트리를 "hard coding"하는 방법, 즉 ARP 테이블에 라우터 인터페이스의 MAC 주소를 입력하여야 한다: arp <ip-address> <hardware-address> <type> 이 임시 조치방법의 문제점은 "clear arp" 명령을 입력할 때, 라우터 인터페이스의 MAC 주소와 동일한 주소가 존재하는 경우, ARP 테이블로부터 수동으로 입력된 모든 MAC 주소가 삭제된다. 또한 임시 조치방법은 라우터의 재부팅 후에는 적용되지 않기 때문에 재부팅이나 재시작 후에는 설정을 다시 입력해주어야 한다. 관련 URL CVE-2001-0895 (CVE) 관련 URL 3547 (SecurityFocus) 관련 URL 7547 (ISS)