思科告诉了Nexus的核心数据中心交换机的客户修复或解决一个漏洞,可能让箱子开到服务拒绝攻击。
该脆弱性,在Nexus的NX-OS软件发现得到了8.6的通用安全漏洞评分系统评分为满分,使其成为一个“高”风险的问题。
思科称,该漏洞是由于受影响的设备意外拆封和处理的IP-in-IP数据包这注定是一个本地配置的IP地址。IP在IP是一种隧道协议,包装另一个IP分组内的一个IP包。
“一个成功的攻击可能导致受影响设备意外解封IP-in-IP的数据包并转发内部IP包。这可能会导致受影响的设备或网络中的其他地方定义的其它安全边界上配置绕过输入的访问控制列表(ACL)的IP包“,思科说明。“在某些条件下,一个攻击可能导致网络堆栈进程崩溃并重新启动多次,导致受影响的设备和DoS条件的重新加载”。
该漏洞影响各种的Nexus从1000的Nexus虚边面向VMware vSphere到Nexus 9000系列交换机。
思科称,一个解决办法是配置基础设施访问控制列表(iACLs)只让所需的管理和控制平面流量到达受影响的设备,如推荐思科指南确保NX-OS软件的设备。
“客户也可以考虑明确地协议第4号(对应的IP-in-IP数据包)拒绝所有IP数据包,其iACLs的一部分,如果没有合法的IP-in-IP流量的网络中使用。定制的控制平面-警务(COPP)策略也可用于删除的IP-in-IP发往受影响设备的流量;然而,COPP定制支持在不同的Nexus平台和软件版本而异“。
建议客户联系他们的支持组织寻求帮助评估解决方法的可行性,并与受影响的设备上实现一个,思科表示。思科还表示,思科软件检查影响特定思科NX-OS软件版本和名称的最早的版本是,在每个公告中描述的修复漏洞,称为思科识别安全建议“第一固定。”
另外该公司表示,它已经发布免费软件更新以解决该漏洞。