Cisco Systems发布了其在路由器,开关和其他网络设备上使用的iOS软件的安全更新,以解决七个漏洞,这些漏洞可以被攻击者利用,以影响受影响的设备的性能或强迫它们重新启动。
新发布的iOS版本包含针对软件网络地址转换(NAT)功能中通常使用的两个漏洞的补丁程序,该功能通常用于路由方案。可以通过发送错误的DNS数据包来处理一个漏洞,以通过受影响的设备处理和翻译另一个漏洞,而另一个漏洞通过发送某些TCP数据包的序列来处理和翻译。
思科在安全咨询周三出版。“如果NAT处于活动状态,则“外部接口”和“内部接口”部分将至少包括一个接口。”
该咨询包含一个表面列表的iOS版本和相应的修补版本。Cisco IOS XR和Cisco IOS XE软件系列不受这两个NAT漏洞的影响。
在Cisco IOS和Cisco IOS XE软件中的IP版本6(ipv6)协议堆栈实现中确定并修补了一个单独的漏洞。远程,未经验证的攻击者可以通过发送错误的IPv6数据包来触发I/O(输入/输出)内存耗竭来利用此漏洞。思科在咨询。
Cisco IOS和Cisco IOS XE更新也已发布,以修复软件的Internet键交换版本2(IKEV2)模块中的漏洞。可以利用此漏洞来通过向其发送专门精心设计的IKEV2数据包来触发设备重新加载。
IKEV2用于许多不同的功能,包括几种类型的VPN(虚拟专用网络)。但是,“设备不需要配置任何IKEV2特定功能才能易受伤害,” Cisco在咨询。
在Cisco IOS软件的“安全插座层”(SSL)VPN子系统中找到了另一个漏洞并修补了。该缺陷使攻击者可以通过提交精心设计的HTTPS请求来消耗受影响设备的内存。这可能会影响设备的性能,可能导致某些过程失败或可能导致设备重新启动。
思科在咨询。“如果设备正在运行脆弱的软件,并且配置列出了任何已配置的网关的管理和操作状态,则会受到影响。”
Cisco IOS XE和Cisco IOS XR软件不受此漏洞的影响,Cisco ASA 5500系列自适应安全设备也不受到影响。
在Cisco IOS和Cisco IOS XE中的会话起始协议(SIP)实施中发现了第六个漏洞。SIP广泛用于通过Internet建立多媒体通信,例如语音和视频通话。
漏洞仅影响配置为处理SIP消息并运行Cisco IOS 15.3(3)M和15.3(3)M1或Cisco IOS XE 3.10.0S和3.10.1S1的设备,Cisco表示咨询。该漏洞是在思科iOS 15.3(3)M2和思科iOS XE 3.10.2s中解决的。
周三修补的最后一个拒绝服务漏洞仅影响在RSP720-3C-10GE和RSP720-3CXL-10GE模型上运行的Cisco 7600 Series Series Route Switch Processor 720的iOS软件。
Cisco在咨询。“攻击者可以通过将精心设计的IP数据包发送到或通过受影响的设备来利用此漏洞。利用可以使攻击者使路线处理器不再转发流量或重新启动。”
该咨询包含一个具有易受伤害和相应修补版本的iOS软件版本的表。Cisco IOS XE和iOS XR软件不受此漏洞的影响。