思科證實88款網(wǎng)絡(luò)產(chǎn)品存在阻斷服務(wù)漏洞

　　9月28日消息 思科（Cisco）日前發(fā)布公告稱，在該公司旗下采用Linux操作系統(tǒng)核心的網(wǎng)絡(luò)產(chǎn)品中，存在名為“FragmentStack”的阻斷服務(wù)（Denial of Service，DoS）的漏洞。按照思科官方的說法，共88款產(chǎn)品受到了這一漏洞的影響！感興趣的朋友不妨來了解一下。

　　據(jù)悉，代號為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC揭露，影響Linux核心3.9以上版本。遠程攻擊者可傳送低速的惡意IP封包，影響數(shù)據(jù)片段重組（fragment reassembly）過程引發(fā)DoS攻擊，使CPU容量超載而導(dǎo)致系統(tǒng)停止回應(yīng)。這種手法已經(jīng)流行數(shù)年，也已有修補程序。

　　之前FragmentSmack只影響Windows系統(tǒng)，最新漏洞則連Linux也遭殃。Akamai、Amazon、Juniper Networks及Linux廠商也相繼發(fā)布修補程序。

　　思科隨后調(diào)查旗下使用Linux核心3.9版以上的產(chǎn)品，并于本周公布受影響產(chǎn)品名單，包括Cisco IOS XE軟件、多款vEdge路由器系列、Nexus交換機系列和Aironet AP產(chǎn)品等網(wǎng)絡(luò)及管理設(shè)備、Telepresence視訊產(chǎn)品、WLAN設(shè)備共88項產(chǎn)品受到影響。

　　鑒于涉及到的產(chǎn)品線不同，補丁預(yù)計會在2018年9月到2019年2月之間陸續(xù)發(fā)出。

　　此外，思科還建議網(wǎng)管人員在補丁發(fā)出前使用限速措施，如訪問控制列表（ACL）或CoPP（Control Plane Policing）來控制進入的IP封包片段！當然，使用外部防火墻或網(wǎng)站前端設(shè)備中的ACL也能有效控制IP片段的進入，也算是一個臨時的安全防護方案。