发布日期：2012-09-26
更新日期：2012-09-27

受影响系统：

Cisco IOS 15.2S
Cisco IOS 15.0SE

描述：

---

BUGTRAQ  ID: 55699
CVE ID: CVE-2012-4621

Cisco IOS Software的Device Sensor功能用于采集使用Cisco Discovery Protocol、Link Layer Discovery Protocol (LLDP)、DHCP协议的网络设备原始端点数据的功能。Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。

Cisco IOS存在安全漏洞，可允许未通过身份验证验证的远程攻击者造成拒绝服务。攻击者可通过发送单个DHCP报文到或经过受影响设备造成设备重载。Device Sensor功能是默认启用的，在至少有一个具有IP地址接口的设备上是易于受到攻击的。当Device Sensor功能尝试处理DHCP报文时会触发此漏洞。在受影响版本中，有效的DHCP报文会触发此漏洞。此漏洞收录在Cisco Bug ID CSCty96049。

<*来源：vendor
  
  链接：http://secunia.com/advisories/50773/
        http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-dhcpv6
*>

建议：

---

临时解决方法：

在受影响版本中，Device Sensor功能是默认启用的。通过应用全局配置命令"device-sensor filter-spec dhcp exclude all"可缓解此漏洞的影响，此命令可过滤Device Sensor功能收集的DHCP报文，并且Device Sensor功能不再处理或存储DHCP信息。

在下列示例中，发出全局配置命令：

Switch# configure terminal
Switch(config)# device-sensor filter-spec dhcp exclude all

要确认Device Sensor功能不再收集DHCP数据，可发出命令“show device-sensor cache all”。在这个表格中应该不显示DHCP条目。

在下面的示例中，下面的表格仅包含Cisco Discover Protocol数据：



Switch# show device-sensor cache all
Device: 000f.f7a7.234f on port GigabitEthernet2/1
--------------------------------------------------
Proto Type:Name Len Value
cdp 22:mgmt-address-type 8 00 16 00 08 00 00 00 00
cdp 19:cos-type 5 00 13 00 05 00
cdp 18:trust-type 5 00 12 00 05 00
cdp 11:duplex-type 5 00 0B 00 05 01
cdp 10:native-vlan-type 6 00 0A 00 06 00 01
cdp 9:vtp-mgmt-domain-type 9 00 09 00 09 63 69 73 63 6F

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20120926-dhcp）以及相应补丁:

cisco-sa-20120926-dhcp：Cisco IOS Software DHCP Denial of Service Vulnerability

链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-dhcpv6

浏览次数：2736
严重程度：0（网友投票）