Cisco IOS 12.4描述:
Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.0
BUGTRAQ ID: 31366
CVE(CAN) ID: CVE-2008-3803
Cisco IOS是思科网络设备上所使用的互联网操作系统。
运行Cisco IOS的设备如果配置了MPLS VPN或VRF Lite的话,在CE与PE设备之间使用BGP可能允许在VPN之间广播信息。如果使用了扩展团体,MPLS VPN可能错误的使用被破坏的路由目标(RT)转发通讯。在这种情况下,通讯可能从一个MPLS VPN泄露给另一个。
只要受影响的PE设备在MPLS VPN VRF中运行了BGP会话就会出现这个漏洞,但攻击者无法可靠的利用这个漏洞。
<*来源:Cisco安全公告
链接:http://www.cisco.com/warp/public/707/cisco-sa-20080924-vpn.shtml
*>
建议:
临时解决方法:
* 运行支持过滤扩展团体的Cisco IOS版本的用户可通过应用删除入站BGP会话中RT项的BGP route-map防止破坏RT。
以下在PE设备的ipv4地址家族应用的配置示例从CE路由器删除了扩展团体:
router bgp <Local AS>
address-family ipv4 vrf one
neighbor <neighbor IP>
remote-as <Remote AS>
neighbor <neighbor IP>
activate neighbor <neighbor IP>
route-map FILTER in exit-address-family
!
ip extcommunity-list 100 permit _RT.*_
!
!
route-map FILTER permit 10
set extcomm-list 100 delete
!
以下在PE设备的ipv6地址家族应用的配置示例从CE路由器删除了扩展团体:
router bgp <Local AS>
address-family ipv6 vrf one
neighbor <neighbor IP>
remote-as <Remote AS>
neighbor <neighbor IP>
activate neighbor <neighbor IP>
route-map FILTER in exit-address-family
!
ip extcommunity-list 100 permit _RT.*_
!
!
route-map FILTER permit 10
set extcomm-list 100 delete
!
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20080924-vpn)以及相应补丁:
cisco-sa-20080924-vpn:Cisco IOS MPLS VPN May Leak Information
链接:http://www.cisco.com/warp/public/707/cisco-sa-20080924-vpn.shtml