Tödliche Pings für Cisco-Router und Switches
Aufgrund einer Schwachstelle im Firewall Service Modul kann eine Sequenz von ICMP-Paketen Cisco-Router und Switches lahmlegen.
Durch einen Fehler in der Software des Firewall Service Moduls (FWSM) kann eine Serie von speziell präparierten ICMP-Paketen Cisco-Router und Switches lahmlegen. Betroffen sind Catalyst 6500 Series Switches und Cisco 7600 Series Router, die mit einem Firewall Service Modul ausgestattet sind. Alle FWSM-Software-Versionen 2.x, 3.x und 4.x ohne speziellen Fix sind anfällig. Wie Cisco in einer Sicherheitsnotiz ausführt, kann die Abarbeitung der ICMP-Pakete dazu führen, dass ein Prozessor alle verfügbaren Execution Threads belegt. Das bedeutet, dass das System keine Pakete mehr weiterleitet. Außerdem ist dann auch das FSWM selbst nicht mehr übers Netz zu erreichen; ein eingerichteter Failover könnte ebenfalls versagen.
Mit dem Befehl show np 2 stats kann man feststellen, ob dieses Problem bereits aufgetreten ist. Das System liefert in diesem Fall die Meldung "ERROR: np_logger_query request for FP Stats failed". Workarounds nennt der Hersteller keine, er stellt jedoch aktualisierte Versionen der FWSM-Software bereit, bei denen das Problem nicht mehr auftreten soll.
Siehe dazu auch:
- Firewall Services Module Crafted ICMP Message Vulnerability, Cisco Security Advisory
- Ein Ping - und Solaris gerät in Panik auf heise Security
(ju)
