思科曝旗下多款Linux網路產品存在DoS漏洞

思科（Cisco）本周發布安全公告，警告旗下採用Linux操作系統核心的網路產品存在名為FragmentStack的阻斷服務（Denial of Service，DoS）的漏洞，影響路由器、交換器等88項產品，導致系統停止回應。

代號為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC揭露，影響Linux核心3.9以上版本。遠程攻擊者可傳送低速的惡意IP封包，影響數據片段重組（fragment reassembly）過程引發DoS攻擊，使CPU容量超載而導致系統停止回應。這種手法已經流行數年，也已有修補程序。

之前FragmentSmack隻影響Windows系統，最新漏洞則連Linux也遭殃。Akamai、Amazon、Juniper Networks及Linux廠商也相繼發布修補程序。

思科隨後調查旗下使用Linux核心3.9版以上的產品，並於本周公布受影響產品名單。包括Cisco IOS XE軟體、多款vEdge路由器系列、Nexus交換機系列和Aironet AP產品等網路及管理設備、Telepresence視訊產品、WLAN設備共88項產品受到影響。

鑒於涉及到的產品線不同，補丁預計會在2018年9月到2019年2月之間陸續發出。而在此之前，思科建議網管人員使用限速措施，如訪問控制列表（ACL）或CoPP（Control Plane Policing）來控制進入的IP封包片段。另外，使用外部防火牆或網站前端設備中的ACL也能有效控制IP片段的進入，算是臨時的安全防護方案吧。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！