Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案

2016年10月5日,思科官网发布了存在于Cisco Nexus 7000系列和7700系列交换机中的OTV技术存在缓冲区溢出漏洞,此漏洞编号为CVE-2016-1453。该漏洞将导致攻击者执行任意代码,或者思科交换机的全部权限。官方已经给出升级补丁,如果您的交换机暂时无法升级,绿盟科技的专家给出了变通防护方案。

该漏洞位于Overlay Transport Virtualization(OTV)技术的GRE隧道协议实现中,由于对OTV包头部的参数没有进行完整校验,导致攻击者可以通过向受影响设备的OTV接口发送精心构造的OTV UDP数据包来执行任意代码,最终获得目标设备的全部权限。当这两个系列的产品启用OTV技术时会受到该漏洞的影响。

受OTV漏洞(CVE-2016-1453)漏洞影响的产品

  • Nexus 7000 Series Switches
  • Nexus 7700 Series Switches

不受OTV漏洞(CVE-2016-1453)影响的产品

  • Multilayer Director Switches
  • Nexus 1000 Series Switches
  • Nexus 2000 Series Fabric Extenders
  • Nexus 3000 Series Switches
  • Nexus 3500 Series Switches
  • Nexus 4000 Series Switches
  • Nexus 5000 Series Switches
  • Nexus 9000 Series Switches in NX-OS mode
  • Nexus 9000 Series Switches in ACI mode
  • Unified Computing System (UCS) 6100 Series Fabric Interconnects
  • Unified Computing System (UCS) 6200 Series Fabric Interconnects

什么是OTV

OTV是一个在分布式地域的数据中心站点之间简化2层扩展传输技术的工业解决方案. 使用OTV技术可以方便地在两个站点部署Data Center Interconnect (DCI),而不需要改变或者重新配置现有的网络.此外,使用OTV技术可以将不同地域的数据中心站点构建成统一的虚拟计算资源群集,实现工作主机的移动性,业务弹性以及较高的资源利用性。

Nexus 7000系列在Cisco NX-OS 5.0(3)及其后续版本中引入OTV技术;Nexus 7700系列在Cisco NX-OS 6.2(2)及其后续版本中引入OTV技术。

如何验证OTV是否打开

用户可以通过命令show running | include otv来检查交换机是否开启了OTV,举例如下:

nxos-switch# show running-config | include otv

feature otv

otv join-interface ...

nxos-switch#

如果返回了上面的结果表明开启了OTV。详情请见以下链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv

OTV漏洞(CVE-2016-1453)规避方案

升级到最新版本

思科官方已经发布了对Cisco NX-OS的版本更新,建议用户升级到最新版本,下载链接如下:

https://software.cisco.com/download/navigator.html?mdfid=281717634&selMode=null

无法升级情况下的变通方案

作为变通方案,可以按如下方式设置ACL,从而丢弃恶意的OTV包:

IP access list OTV_PROT_V1

10 deny udp any any fragments

20 deny udp any any eq 8472 packet-length lt 54

30 permit ip any any

实施以上规则时,有以下几点需要注意:

  1. deny udp fragment访问控制项必须放在ACL的第一行;
  2. 在上述ACL例子中,序号10-20之间以及20-30之间可以添加其他访问控制项,只要不跟序号10和20冲突即可;
  3. 该ACL必须配置为OTV连接接口的入口ACL;
  4. 上述ACL例子中作为目的地址的“any”,可以以多条访问控制项的形式替换为多个具体的OTV接口IP地址。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-nexus-7000-and-7700-switch-otv-buffer-overflow-vulnerability-cve-2016-1453

时间: 2024-09-30 10:31:28

Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案的相关文章

绿盟科技网络安全威胁周报2017.01 请关注MatrixSSL堆缓冲区溢出漏洞CVE-2016-6890

绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-39,绿盟科技漏洞库本周新增30条,其中高危9条.本次周报建议大家关注 MatrixSSL 堆缓冲区溢出漏洞 ,目前,此漏洞已经公布了一段时间并且官方已经进行了修复,强烈建议仍在使用受影响版本的用户进行升级. 焦点漏洞 MatrixSSL 堆缓冲区溢出漏洞 NSFOCUS ID  35726 CVE ID  CVE-2016-6890 受影响版本 3.8.5 漏洞点评 MatrixSSL是SSL/TLS的开源实现,主要应用于嵌入式系统中.

Oracle 8i TNS Listener 缓冲区溢出漏洞

Oracle 8i TNS Listener 缓冲区溢出漏洞 (Other,缺陷)     Oracle 8i 发现重大漏洞,允许攻击者执行任意代码 详细: Oracle 8i TNS (Transparent Network Substrate) Listener 负责建立和维系客户机同 ORACLE 数据库服务的远程连接.发现该 Listener 存在缓冲区溢出漏洞.攻击者成功利用此漏洞,将能在数据库服务器上执行任意代码. 更为糟糕的是,缓冲溢出发生在验证之前,这意味着激活了口令保护机制的

iPlanet Web Server 缓冲区溢出漏洞

server|web 涉及程序: iPlanet 描述: iPlanet Web Server 缓冲区溢出漏洞 详细: iPlanet Web Server 4.x存在一个缓冲区溢出漏洞.该漏洞允许恶意的用户远程执行任意代码或产生拒绝服务攻击. 通过发送一个长度大约为 198-240 字符并以.shtml 作后缀的HTTP请求,将产生缓冲区溢出. 该漏洞只有在服务器端打开'parsing' 选项时才被利用.成功地利用这个漏洞恶意的攻击者可以完全控制目标主机. 受影响的系统:Sun Solaris

Skype爆严重缓冲区溢出漏洞,可提权于无形之中

本文讲的是Skype爆严重缓冲区溢出漏洞,可提权于无形之中,近日,微软旗下非常流行的免费网络短信和语音呼叫服务Skype被发现了一个严重的漏洞,该漏洞可以让黑客远程执行恶意代码或者导致系统崩溃.  Skype是一种免费的在线服务,允许用户之间通过互联网进行语音,视频和即时消息进行通信.由于其在全球具有很高的知名度,该服务于2011年5月被微软公司以85亿美元收购.  这枚未知的堆栈缓冲区溢出漏洞(CVE-2017-9948)位于Skype Web的消息和通话服务中,该漏洞是来自德国based s

虚拟机危险!一个存在11年的缓冲区溢出漏洞--毒液

本文讲的是 虚拟机危险!一个存在11年的缓冲区溢出漏洞--毒液,CrowdStrike的研究人员昨日声称,他们发现当今大多数最流行的虚拟机平台软件中,都存在一个缓冲区溢出漏洞,该漏洞能够潜在的导致攻击者访问主机. 雪上加霜的是,即使管理员禁止访问虚拟软盘驱动代码(话说这年代谁还用软盘?),另一个完全无关的漏洞,仍然允许该代码被访问. 由于害怕媒体放大漏洞危害而引起恐慌,研究人员在建立了介绍及修补"毒液"漏洞的网站之后才通知了媒体. 研究人员将这个漏洞称为"毒液"(V

GNU glibc 爆 gethostbyname 缓冲区溢出漏洞

GNU glibc 标准库的 gethostbyname 函数爆出缓冲区溢出漏洞,漏洞编号:CVE-2015-0235,漏洞详情请看这里. 该漏洞使黑客能够在不知道系统的id和密码的情况下远程控制系统.通过glibc的gethostbyname函数触发.这个函数几乎被用于所有联网的Linux电脑(当其被另一个联网的计算机使用/etc/hosts等文件访问时,或者更常见的通过DNS来解析一个互联网域名). 利用该漏洞,所有攻击者可以通过对一个DNS解析应用使用一个无效的主机名参数来引发缓冲区溢出.

glibc gethostbyname 缓冲区溢出漏洞 修复建议

包括Linux不支持在线升级替换内核在内, 还有这个CASE, 还是不如AIX啊. http://www.ksyun.com/indexNotice/info/2015/2185.html#80b8ba67-599d-4f7d-a0e3-196dcc238f03 一.漏洞背景 代码审计公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞,这个bug可以经过gethostbyname*()函数被本地或者远程的触发. 1

缓冲区溢出攻防

很久以来,在人们心目中,"黑客"和病毒作者的身上总是笼罩着一层神秘的光环,他们被各种媒体描述成技术高手甚至技术天才,以至于有些人为了证明自己的"天才"身份而走上歧途,甚至违法犯罪.记得不久前就看到过这样一个案例:一位计算机专业研究生入侵了一家商业网站并删除了所有数据.当他在狱中接受记者的采访时,他非常自豪地说这样做只是为了证明自己和获得那种成就感. 本文讨论的缓冲区溢出攻击实际上是一项非常"古老"的技术,但它的破坏力依然不可小视--相信大家都还没

浅谈缓冲区溢出之栈溢出<上>

有段时间没有用windows了,刚一开机又是系统补丁更新.匆匆瞥了一眼看到了"内核缓冲区溢出漏洞补丁"几个字眼.靠,又是内核补丁.打完这个补丁后MD的内核符号文件又得更新了.于是抱怨了几句,一旁的兄弟问什么是缓冲区溢出.这个-三两句话还真说不清楚.解释这个问题用C语言比较方便,但是单从C代码是看不出来什么的,具体原理要分析机器级代码才能说清楚.既然是浅谈原理,那就从最基本的开始吧. 本文的定位是对此方面一无所知的读者,所以大牛们可以直接飘过- 缓冲区溢出这个名词想必大家并不陌生吧,在微