发布日期：2008-03-26
更新日期：2008-03-27

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3  
Cisco IOS 12.2
Cisco IOS 12.1
Cisco IOS 12.0

描述：

---

BUGTRAQ  ID: 28464
CVE(CAN) ID: CVE-2008-1156

Cisco IOS是思科网络设备所使用的互联网操作系统。

Cisco IOS在实现多播虚拟专用网（MVPN）时存在漏洞，允许攻击者发送特制的多播分布树（MDT）Data Join消息导致在核心路由器上创建额外的多播状态。

这个漏洞还允许泄露其他MPLS VPN的多播通讯，可以接收连接到同一供应商边界（PE）路由器的VPN的多播通讯。如果要成功利用这个漏洞，攻击者必须知道或猜测到远程PE路由器的边界网管协议（BGP）同层IP地址，以及其他MPLS VPN所使用的多播组的地址。

<*来源：Thomas Morin
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20080326-mvpn.shtml
*>

建议：

---

临时解决方法：

* 过滤到UDP 3232端口的报文

MDT Data Join消息发送到UDP 3232端口，创建过滤目标UDP 3232端口的访问列表，并应用到PE路由器的VRF接口来缓解这个漏洞。访问列表类似于：

    access-list 100 deny udp any any eq 3232
    access-list 100 permit ip any any
    
    interface Serial 0/0
      ip vrf forwarding <vpn-1>
      ...
      ip access-group 100 in

* 在VRF接口上过滤BGP对等端IP地址
  
创建过滤iBGP对等端IP地址为源地址的访问列表并将其应用到PE路由器的VRF接口来缓解这个漏洞。访问列表必须过滤所有的iBGP对等端IP地址，如下所示：

    access-list 100 deny udp host <ibgp-peer-1> any eq 3232
    access-list 100 deny udp host <ibgp-peer-2> any eq 3232
    ...
    access-list 100 deny udp host <ibgp-peer-n> any eq 3232
    access-list 100 permit ip any any
    
    interface Serial 0/0
      ip vrf forwarding <vpn-1>
      ...
      ip access-group 100 in

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080326-mvpn）以及相应补丁:
cisco-sa-20080326-mvpn：Cisco IOS Multicast Virtual Private Network (MVPN) Data Leak
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080326-mvpn.shtml

浏览次数：3361
严重程度：0（网友投票）