[Driftstörning] Re: Fwd: [sunet-fail] SUNET/20030717-1352 Urgent software upgrade, Updated

Gunnar Lindberg lindberg at cdg.chalmers.se
Fri Jul 18 15:48:33 CEST 2003 

Bytet av Cisco-kod motiverades av CERT Advisory CA-2003-15 och
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Jag har kopierat lite från den nedan. En rekommendation är att man
ska spärra den typ av paket som identifierats som "farliga" och för
att skydda Chalmers routers har jag försökt göra så ute vid
anslutningen mot Internet, chalmers1-gw & chalmers2-gw (det handlar
mycket om dem just nu).

Om allt fungerar, så spärrar det farlig trafik från att komma in,
men det hindrar också eventuell legitim trafik. I den mån annan
utrustning har problemet så skyddas den just nu från attacker från
utanför Chalmers (OBS INTE från attacker innifrån; från 129.16).

Det kommer inte att förbli så, utan vi kommer att ta bort spärren
så snart vi har hunnit skaffa hem ny Cisco routerprogramvara som inte
har detta problem. Det eventuella skydd som (kanske) finns nu kommer
att försvinna då.

Läs hela artikeln eller titta åtminstone på texten nedan och lägg in
lämplig variant av access-listan nedan som "in" i er Ciscoutrustning.
Planera in uppgradering till en säker version av IOS när sådan finns.

	Gunnar Lindberg, CDG

    Cisco routers are configured to process and accept Internet
    Protocol version 4 (IPv4) packets by default. A rare, specially
    crafted sequence of IPv4 packets with protocol type

     53 (SWIPE; IP with Encryption),
     55 (IP Mobility),
     77 (Sun ND), or
    103 (Protocol Independent Multicast - PIM)

    which is handled by the processor on a Cisco IOS device may
    force the device to incorrectly flag the input queue on an
    interface as full, which will cause the router to stop
    processing inbound traffic on that interface. This can cause
    routing protocols to drop due to dead timers. 

    A device receiving these specifically crafted IPv4 packets will
    force the inbound interface to stop processing traffic.
    The device may
    stop processing packets destined to the router, including
    routing protocol packets and ARP packets. No alarms will be
    triggered, nor
    will the router reload to correct itself. This issue can affect
    all Cisco devices running Cisco IOS software.

    The following access list is specifically designed to block
    attack traffic.

    access-list 101 deny 53 any any
    access-list 101 deny 55 any any
    access-list 101 deny 77 any any
    access-list 101 deny 103 any any
    !--- insert any other previously applied ACL entries here
    !--- you must permit other protocols through to allow normal
    !--- traffic -- previously defined permit lists will work
    !--- or you may use the permit ip any any shown here
    access-list 101 permit ip any any 

    Since the initial posting of this document, the Cisco PSIRT has
    been made aware of public announcements of the vulnerabilities
    described in this advisory. Cisco PSIRT is aware that the exploit
    for this vulnerability has been published on a public mailing list.

More information about the Driftstorning mailing list