Service-Router von Cisco können sich an IPv6-Paketen verschlucken
Ein Sicherheitsupdate schließt eine DoS-Schwachstelle in Cisco ASR 9000.
Ciscos Aggregation Services Router der Serie 9000 sind unter gewissen Voraussetzungen verwundbar. Nutzt ein Angreifer die Sicherheitslücke aus, soll er aus der Ferne und ohne sich anmelden zu müssen Router per DoS-Attacke aus dem Verkehr ziehen können. Cisco stuft das von der Lücke ausgehende Risiko als "hoch" ein. Ein Sicherheitsupdate ist verfügbar.
Der Fehler findet sich im IPv6-Subsystems von Ciscos Router-Betriebssystem IOS XR Version 5.3.4. Neben der Installation dieses Systems muss ein potenzielles Opfer noch Trident-based line cards installiert haben, die für IPv6 konfiguriert sind: Nur dann kann ein Angriff klappen. Dafür müsste ein Angreifer lediglich präparierte IPv6-Pakete (fragment header extension) an einen verwundbaren Router schicken.
In der Sicherheitswarnung beschreibt Cisco unter anderem, wie Admins prüfen können, ob ihre Service Router angreifbar sind und wie man bereits erfolgte Angriffe erkennen kann. Um Geräte abzusichern, stellt Cisco ein Software Maintenance Upgrade (SMU) zur Verfügung. Darüber hinaus enthält auch IOS XR 5.3.4 mit Service Pack 7 den Fix. (des)
