发布日期：2008-06-18
更新日期：2008-06-19

受影响系统：

Cisco IPS 6.x
Cisco IPS 5.x

不受影响系统：

Cisco IPS 6.0(5)E2
Cisco IPS 5.1(8)E2

描述：

---

BUGTRAQ  ID: 29791
CVE(CAN) ID: CVE-2008-2060

Cisco入侵保护系统是网络安全设备中的一部分，可提供基于网络的威胁防范服务。

某些Cisco IPS平台在处理巨型以太网报文时存在拒绝服务漏洞。如果以inline模式所部署的有漏洞Cisco IPS平台的千兆网口接收到了特定的巨型以太网帧的话，就会出现内核忙碌，导致平台完全失效和网络拒绝服务的情况。仅以混杂模式部署的平台或没有千兆网口的平台不受漏洞影响。

成功利用本文所述的漏洞可能导致网络拒绝服务，必须断电才能恢复运行。Cisco IPS 4260/4270平台的硬件配置了硬件直通以在系统忙碌的情况下传送通讯，因此攻击者可以绕过访问控制和恶意行为检测。

<*来源：HD Moore
  
  链接：http://secunia.com/advisories/30767/
        http://www.cisco.com/warp/public/707/cisco-sa-20080618-ips.shtml
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

* 直接在连接到有漏洞Cisco IPS平台的路由器和交换机上禁用巨型以太网支持。

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080618-ips）以及相应补丁:
cisco-sa-20080618-ips：Cisco Intrusion Prevention System Jumbo Frame Denial of Service
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080618-ips.shtml

补丁下载：

http://www.cisco.com/pcgi-bin/tablebuild.pl/ips5?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/ips6?psrtdcat20e2

浏览次数：2474
严重程度：0（网友投票）