发布日期：2008-05-21
更新日期：2008-05-23

受影响系统：

Cisco IOS 12.4

描述：

---

BUGTRAQ  ID: 29314
CVE(CAN) ID: CVE-2008-1159

Cisco IOS是思科网络设备中所使用的互联网操作系统。

Cisco IOS中SSH实现的服务端存在多个漏洞，允许未经认证的用户生成伪造的内存访问错误或在某些情况下重载设备。如果攻击者能够重载设备的话，就可以反复利用这些漏洞导致持续的拒绝服务。

IOS SSH服务器是默认禁用的可选服务，但作为管理Cisco IOS设备的最佳安全实践，强烈建议使用这个服务。

<*来源：Cisco安全公告
  
  链接：http://secunia.com/advisories/30322/
        http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml
*>

建议：

---

临时解决方法：

* 应用VTY访问类，仅允许已知的可信任主机通过SSH连接到设备。以下示例允许192.168.1.0/24网段及单个IP地址172.16.1.2对VTY的访问，拒绝任何其他访问：

    Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
    Router(config)# access-list 1 permit host 172.16.1.2
    Router(config)# line vty 0 4
    Router(config-line)# access-class 1 in

* 部署以下基础架构ACL（iACL）
    
    !--- Permit SSH services from trusted hosts destined
    !--- to infrastructure addresses.
    access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 22
    !--- Deny SSH packets from all other sources destined to infrastructure addresses.
    access-list 150 deny   tcp any INFRASTRUCTURE_ADDRESSES MASK eq 22
    !--- Permit all other traffic to transit the device.
    access-list 150 permit IP any any
    
    interface serial 2/0
      ip access-group 150 in
      
* 部署以下控制面整型（CoPP）

    access-list 152 deny   tcp TRUSTED_ADDRESSES MASK any eq 22
        access-list 152 permit tcp any any eq 22
        !
        class-map match-all COPP-KNOWN-UNDESIRABLE
         match access-group 152
        !
        !
        policy-map COPP-INPUT-POLICY
         class COPP-KNOWN-UNDESIRABLE
          drop
        !
        control-plane
         service-policy input COPP-INPUT-POLICY

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080521-ssh）以及相应补丁:
cisco-sa-20080521-ssh：Cisco IOS Secure Shell Denial of Service
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml

浏览次数：2850
严重程度：0（网友投票）