【綠盟科技授權,賽迪發佈,謝絕任何網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
【賽迪網-IT技術報道】如果某些Cisco IOS 12.3之前版本中使用了點到點隧道協議(PPTP)的話,虛擬專用撥號網絡(VPDN)中就可能存在兩個安全漏洞,遠程攻擊者可能利用此漏洞獲取設備敏感信息或導致設備不可用。
發佈日期:2008-03-26
更新日期:2008-03-27
受影響系統:
Cisco IOS 12.2
Cisco IOS 12.1
Cisco IOS 12.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 28460
CVE(CAN) ID: CVE-2008-1151,CVE-2008-1150
Cisco IOS是思科網絡設備所使用的互聯網操作系統。
如果某些Cisco IOS 12.3之前版本中使用了點到點隧道協議(PPTP)的話,虛擬專用撥號網絡(VPDN)中就可能存在兩個安全漏洞,遠程攻擊者可能利用此漏洞獲取設備敏感信息或導致設備不可用。
PPTP是VPDN解決方案中用於隧道傳輸PPP幀的唯一支持隧道協議。在完成PPTP會話時,終止設備上處理器記憶體會洩露;此外受影響的設備沒有刪除關聯到PPTP會話的虛擬訪問接口,之後的連接沒有重用接口。這就可能導致耗盡接口描述符塊(IDB)限制,在Cisco IOS中無法創建任何新的接口,這就阻斷了所有新的VPDN連接,即使路由器仍有足夠的處理器記憶體。必須重啟設備才能刪除接口。
<*來源:Martin Kluge
鏈接:http://www.cisco.com/warp/public/707/cisco-sa-20080326-pptp.shtml
*>
建議:
--------------------------------------------------------------------------------
廠商補丁:
Cisco
-----
Cisco已經為此發佈了一個安全公告(cisco-sa-20080326-pptp)以及相應補丁:
cisco-sa-20080326-pptp:Cisco IOS Virtual Private Dial-up Network Denial of Service Vulnerability
鏈接:http://www.cisco.com/warp/public/707/cisco-sa-20080326-pptp.shtml
(