Cisco 12000 系列在访问控制列表实现中存在漏洞发布时间:2001-11-15 更新时间:2001-11-15 严重程度:中 威胁程度:远程拒绝服务 错误类型:设计错误 利用方式:服务器模式 受影响系统 基于Engine 2的Cisco 12000 路由系列详细描述 在CISCO 12000平台上存在6个漏洞,不过只影响基于Engine 2 line card系列。 CSCdm44976 ACL不会阻止所有通信,发送碎片包会导致ACL不灰阻塞或者对保护IP地址产生 拒绝服务攻击 CSCdu57417 在ACL中的"fragment"关键词会被忽略,就可能导致使用碎片包来进行拒绝服务攻击。 CSCdu03323 如果448条ACL采用在外出接口上最后的"deny ip any any"规则将不被采用。超过 448条或者少于448条将不受此漏洞影响。可以导致一些通信可以允许通过。 CSCdu35175 在出口ACK控制中增加"fragment"关键字可以被增加,而以前只有在入口ACL 中支持这个关键字。这可导致碎片包进入保护网络 CSCdt96370 外出ACL控制不能阻塞所有路由器上的通信。可以导致不需要通信允许进入和 外出保护网络。 CSCdt69741 碎片包不会被ACL过滤不管是否使用了"fragment"关键字。 测试代码 尚无 解决方案 更多信息请参考: http://www.cisco.com/warp/public/620/1.html. 相关信息 |
