发布日期：2008-09-24
更新日期：2008-09-25

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3  
Cisco IOS 12.2
Cisco IOS 12.0

描述：

---

BUGTRAQ  ID: 31366
CVE(CAN) ID: CVE-2008-3803

Cisco IOS是思科网络设备上所使用的互联网操作系统。

运行Cisco IOS的设备如果配置了MPLS VPN或VRF Lite的话，在CE与PE设备之间使用BGP可能允许在VPN之间广播信息。如果使用了扩展团体，MPLS VPN可能错误的使用被破坏的路由目标（RT）转发通讯。在这种情况下，通讯可能从一个MPLS VPN泄露给另一个。
  
只要受影响的PE设备在MPLS VPN VRF中运行了BGP会话就会出现这个漏洞，但攻击者无法可靠的利用这个漏洞。

<*来源：Cisco安全公告
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20080924-vpn.shtml
*>

建议：

---

临时解决方法：

* 运行支持过滤扩展团体的Cisco IOS版本的用户可通过应用删除入站BGP会话中RT项的BGP route-map防止破坏RT。
  
以下在PE设备的ipv4地址家族应用的配置示例从CE路由器删除了扩展团体：

     router bgp <Local AS>
     address-family ipv4 vrf one
     neighbor <neighbor IP>
     remote-as <Remote AS>
     neighbor <neighbor IP>
     activate neighbor <neighbor IP>
     route-map FILTER in exit-address-family
     !
    ip extcommunity-list 100 permit _RT.*_
    !
    !
    route-map FILTER permit 10
     set extcomm-list 100 delete
    !

以下在PE设备的ipv6地址家族应用的配置示例从CE路由器删除了扩展团体：
    
    router bgp <Local AS>
     address-family ipv6 vrf one
     neighbor <neighbor IP>
     remote-as <Remote AS>
     neighbor <neighbor IP>
     activate neighbor <neighbor IP>
     route-map FILTER in exit-address-family
    !
    ip extcommunity-list 100 permit _RT.*_
    !
    !
    route-map FILTER permit 10
     set extcomm-list 100 delete
    !

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080924-vpn）以及相应补丁:
cisco-sa-20080924-vpn：Cisco IOS MPLS VPN May Leak Information
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080924-vpn.shtml

浏览次数：2975
严重程度：0（网友投票）