CVE-2002-2208
CVSS7.8
发布时间 :2002-12-31 00:00:00
修订时间 :2016-10-17 22:27:52
NMCO    

[原文]Extended Interior Gateway Routing Protocol (EIGRP), as implemented in Cisco IOS 11.3 through 12.2 and other products, allows remote attackers to cause a denial of service (flood) by sending a large number of spoofed EIGRP neighbor announcements, which results in an ARP storm on the local network.


[CNNVD]Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞(CNNVD-200212-280)

        
        Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系统。
        使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴,远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击,消耗所有带宽。
        EIGRP使用自动发现邻居路由器方式进行路由发现。EIGRP路由器通过在使能接口上多播而宣布其存在。如果两个路由器彼此发现对方,它们将交换当前拓扑信息,双方也需要获得对方路由器MAC地址。
        当使用随机源IP地址生成EIGRP邻居通告,并对路由器或者整个网络进行'淹没'攻击,所有接收的CISCO路由器会尝试联系发送者,发送者IP地址必须在目前路由器配置中的子网中。
        CISCO IOS存在一个漏洞,在联系发送者时会持续请求发送MAC地址,这个过程没有超时操作,除非EIGRP邻居保持时间过期,这个值又发送端提供并最大可以超过18小时。
        多个使用不存在的源IP地址邻居通告,可以导致路由器消耗大量CPU利用率和消耗大量带宽,造成拒绝服务攻击。
        使用IP多播和EIGRP通告将会有更好的攻击效果。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告,导致存在通过Internet进行攻击的可能。
        

- CVSS (基础分值)

CVSS分值: 7.8 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

cpe:/o:cisco:ios:12.0Cisco IOS 12.0
cpe:/a:extended_interior_gateway_routing_protocol:extended_interior_gateway_routing_protocol:1.2
cpe:/o:cisco:ios:11.3Cisco IOS 11.3
cpe:/o:cisco:ios:12.2Cisco IOS 12.2
cpe:/o:cisco:ios:12.1Cisco IOS 12.1

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-2208
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-2208
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-280
(官方数据源) CNNVD

- 其它链接及资源

http://lists.grok.org.uk/pipermail/full-disclosure/2005-December/040330.html
(UNKNOWN)  FULLDISC  20051219 Unauthenticated EIGRP DoS
http://marc.info/?l=full-disclosure&m=113504451523186&w=2
(UNKNOWN)  FULLDISC  20051220 RE: Authenticated EIGRP DoS / Information leak
http://securitytracker.com/id?1005840
(UNKNOWN)  SECTRACK  1005840
http://www.cisco.com/en/US/tech/tk365/technologies_security_notice09186a008011c5e1.html
(PATCH)  CISCO  20021220 Cisco's Response to the EIGRP Issue
http://www.cisco.com/warp/public/707/eigrp_issue.pdf
(VENDOR_ADVISORY)  CONFIRM  http://www.cisco.com/warp/public/707/eigrp_issue.pdf
http://www.securityfocus.com/archive/1/304034
(VENDOR_ADVISORY)  BUGTRAQ  20021219 Cisco IOS EIGRP Network DoS
http://www.securityfocus.com/archive/1/304044
(PATCH)  BUGTRAQ  20021219 Re: Cisco IOS EIGRP Network DoS
http://www.securityfocus.com/archive/1/archive/1/419898/100/0/threaded
(VENDOR_ADVISORY)  BUGTRAQ  20051220 Re: Unauthenticated EIGRP DoS
http://www.securityfocus.com/bid/6443
(UNKNOWN)  BID  6443
http://xforce.iss.net/xforce/xfdb/10903
(UNKNOWN)  XF  cisco-ios-eigrp-dos(10903)

- 漏洞信息

Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞
高危 设计错误
2002-12-31 00:00:00 2006-05-01 00:00:00
远程  
        
        Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系统。
        使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴,远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击,消耗所有带宽。
        EIGRP使用自动发现邻居路由器方式进行路由发现。EIGRP路由器通过在使能接口上多播而宣布其存在。如果两个路由器彼此发现对方,它们将交换当前拓扑信息,双方也需要获得对方路由器MAC地址。
        当使用随机源IP地址生成EIGRP邻居通告,并对路由器或者整个网络进行'淹没'攻击,所有接收的CISCO路由器会尝试联系发送者,发送者IP地址必须在目前路由器配置中的子网中。
        CISCO IOS存在一个漏洞,在联系发送者时会持续请求发送MAC地址,这个过程没有超时操作,除非EIGRP邻居保持时间过期,这个值又发送端提供并最大可以超过18小时。
        多个使用不存在的源IP地址邻居通告,可以导致路由器消耗大量CPU利用率和消耗大量带宽,造成拒绝服务攻击。
        使用IP多播和EIGRP通告将会有更好的攻击效果。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告,导致存在通过Internet进行攻击的可能。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 实现使用MD5 HASH进行EIGRP验证。
        
        http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18

        * 如果在单播方式使用EIGRP,可以使用切当的ACL阻挡来自非法主机的通告,下面的例子EIGRP邻居IP地址为10.0.0.2,本地路由器地址为10.0.0.1:
        Router#config t
        Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1
        Router(config)#access-list 111 deny eigrp any host 10.0.0.1
        厂商补丁:
        Cisco
        -----
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.cisco.com/warp/public/707/advisory.html

- 漏洞信息

18055
Cisco Spoofed EIGRP Packet Saturation DoS
Remote / Network Access Denial of Service, Input Manipulation
Loss of Availability
Exploit Public

- 漏洞描述

Cisco IOS contains a flaw that may allow a remote denial of service. The issue is triggered when a flood of spoofed EIGRP neighbor annoucements are sent, causing an ARP storm of address lookups, and will result in loss of availability for the network segment.

- 时间线

2002-10-08 Unknow
2002-10-08 Unknow

- 解决方案

Currently, there are no known upgrades or patches to correct this issue. It is possible to correct the flaw by implementing the following workaround(s): implement MD5 authentication on the EIGRP neighbor announcements.

- 相关参考

- 漏洞作者

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站