English

◀◁ 뒤로 취약점ID 29073 위험도 40 포트 161 프로토콜 UDP 분류 SNMP 상세설명 해당 Cisco IOS의 버전은 비정상적인 IPv4 패킷들을 통한 서비스 거부 취약점을 가지고 있다. 다수의 Cisco Internetwork Operating System 소프트웨어 (IOS)가 작동하고 있는 Cisco 라우터들과 스위치들은 대다수의 IPv4 장비들의 네트워크 인터페이스가 영향을 받는 서비스 거부 취약점에 취약하다. 이 취약점은 Cisco IOS 11.x에서 12.x 사이의 버전들이 작동되는 모든 하드웨어 플랫폼들에 존재한다. 취약점은 IPv4 트래픽의 연속되는 비정상적이고 특별한 패킷들을 올바르게 처리하지 못하는 패킷 처리 루틴들의 결함이 원인이 된다. 만약 그러한 연속적인 패킷들을 만난다면 IOS는 네트워크 인터페이스에 있는 입력 큐를 꽉찬(full) 것으로 잘못 설정한다. 일정한 시간이 경과한 뒤, 취약한 장비는 라우팅과 ARP 프로토콜들의 처리를 중지한다. 이것은 아주 효과적으로 인터페이스가 어떤 트래픽도 처리하지 못하도록 한다. 특별한 연속되는 IPv4 패킷들을 보냄으로써 원격지의 공격자는 장비가 입력 큐를 꽉찬 것으로 설정하도록 할 수 있으며 이는 입력 인터페이스가 트래픽 처리를 중지하게 한다. 공격은 모든 네트워크 인터페이스들을 불능상태가 되도록 대상 장비에 대해 반복적으로 가해질 수 있다. 이 상태로 들어간 장비들은 사용자 간섭이나 하드웨어적인 재시작 없이는 리셋되지 않는다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml http://www.cert.org/advisories/CA-2003-15.html http://www.kb.cert.org/vuls/id/411332 * 영향을 받는 플랫폼: Cisco IOS System 해결책 다음 Cisco 보안 권고안(Cisco IOS Interface Blocked by IPv4 Packets)의 "Software Versions and Fixes"를 참조하여 문제가 해결된 Cisco IOS 버전들 중의 하나로 업그레이드 하여야 한다: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml 이 업그레이드들은 Cisco의 웹 사이트인 http://www.cisco.com/tacpage/sw-center/sw-ios.shtml 에 있는 Software Center를 통해 구할 수 있다. 임시 조치방법으로써 Cisco 사는 모든 IOS 장비들은 IPv4 패킷들을 처리하는 ACL(Access Control List)들을 사용하여 어떤 인가되지 않은 소스(Source)로부터 라우터로 향한 트래픽을 차단하도록 설정할 것을 권고하고 있다. 다음 Access List는 공격 트래픽을 차단하기 위해 특별히 고안되었다. 이 Access List는 장비의 모든 인터페이스들에 대해 적용되어져야 하며, 망 구성상의 필터들을 빠뜨리지 말아야 한다. access-list 101 deny 53 any any access-list 101 deny 55 any any access-list 101 deny 77 any any access-list 101 deny 103 any any !--- 이 지점에 이전에 적용된 다른 ACL 엔트리들을 삽입하여야 한다. !--- 또한 이전에 정의된 permit 리스트들이 작동하고 정상적인 트래픽은 !--- 허용될 수 있도록 설정을 하여야 한다. !--- 혹은 밑에 있는 "permit ip any any" 를 사용하면 된다. access-list 101 permit ip any any 더 자세한 정보는 다음 사이트에서 볼 수 있다: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml 관련 URL CVE-2003-0567 (CVE) 관련 URL 8211 (SecurityFocus) 관련 URL 12631 (ISS)