DHCP-Pakete blockieren Netzwerkschnittstellen auf Cisco-Routern
Cisco hat eine Schwachstelle in Geräten mit IOS-Version 12.2s gemeldet. Fehlerhafte DHCP-Pakete können die Eingangsqueue einer Netzwerkschnittstelle verstopfen, sodass der Router keine an ihn direkt gerichteten Pakete mehr annimmt.
Cisco hat eine Schwachstelle in Routern mit IOS-Version 12.2s gemeldet, die zum Blockieren von Netzwerkschnittstellen führt. Der implementierte DHCP-Server beziehungsweise Relay-Agent verarbeitet empfangene fehlerhafte DHCP-Pakete nicht richtig, sodass sie in der Eingangsqueue verbleiben, statt verworfen zu werden. Verstopfen mehrere solcher Pakete die Queue, nimmt das betroffene Interface keine weiteren Pakete mehr an. In der Folge verarbeitet der Router keine an ihn direkt gerichteten Pakete, etwa ARP und Routing-Protokolle. Auch der Managementzugriff über SSH oder SNMP ist dann nicht mehr möglich. Das Routing selbst funktioniert aber ganz normal weiter.
Laut Advisory hilft nur ein Reboot vor Ort, um die Queue zu entleeren. Cisco weist darauf hin, dass alle Geräte mit genannter IOS-Version verwundbar sind, in deren Konfiguration das "no service dhcp"-Kommando fehlt. Ohne dieses Kommando läuft der DHCP-Dienst standardmäßig auf allen Routern, sogar wenn er nicht konfiguriert wurde. Der Hersteller stellt fehlerbereinigte Versionen zur Verfügung. Nähere Einzelheiten dazu sind dem Original-Advisory zu entnehmen.
Siehe dazu auch: (dab)
- Security Advisory von Cisco
