Fehlerhafte Pakete bringen Cisco IP-Switches/Router zum Absturz

Nach Angaben von Cisco können manipulierte Pakete die IP-Switching-Router der Serie 6000/6500/7600 zum Stillstand bringen. Der Fehler wird durch Layer-2-Pakete provoziert, deren Länge nicht konsistent mit der Länge des transportierten Layer-3-Paketes (IP, IPX und andere) ist. Switches mit Multilayer Switch Feature Card 2 (MSFC2) und FlexWAN- oder Optical Services Module (OSM) bleiben stehen oder rebooten. Dazu reicht es aus, dass der Routing-Switch ein fehlerhaftes Paket entgegennimmt und versucht weiterzuleiten. Allerdings muss dazu das Software-Switching im entsprechenden Router aktiviert sein, in Hardware switchende Systeme sind nicht verwundbar.

Nach Angaben von Cisco können derlei manipulierte Datenrahmen eigentlich nur aus lokal angeschlossenen Netzen stammen, da andere Switches auf dem Weg diese in der Regel korrigieren oder verwerfen und Router gar keine Layer-2-Pakete transportieren. Ein Angriff aus anderen Netzen sei somit unwahrscheinlich, aber nicht auszuschließen. Einen Workaround gibt es für das Problem nicht, der Hersteller empfiehlt eine neue IOS-Version einzuspielen.

Siehe dazu auch: (dab)

• Security Advisory von Cisco