Cisco IOS XE 軟體資源保留通訊協定介面佇列楔入弱點 (cisco-sa-20130925-rsvp)

high Nessus Plugin ID 70312

Synopsis

遠端裝置缺少供應商提供的安全性修補程式。

描述

Cisco IOS XE 軟體之資源保留通訊協定 (RSVP) 功能中的一個弱點允許未經驗證的遠端攻擊者在受影響的裝置上觸發介面佇列楔入。該弱點是因為不當剖析 UDP RSVP 封包所導致。籍由傳送 UDP 連接埠 1698 RSVP 封包至有弱點的裝置,攻擊者可惡意利用此弱點。惡意利用可造成 Cisco IOS XE 軟體錯誤處理傳入的封包,導致介面佇列楔入,進而導致失去連線、失去路由通訊協定相鄰,以及其他拒絕服務 (DoS) 情形。Cisco 已發佈解決此弱點的免費軟體更新。不過,有可減輕此弱點影響的因應措施。

請注意,此外掛程式會檢查受影響的 IOS XE 版本,並未嘗試執行任何額外的有效性檢查。

解決方案

套用 Cisco 安全性公告 cisco-sa-20130925-rsvp 中所提及的相關修補程式。

另請參閱

http://www.nessus.org/u?fe2616f7

Plugin 詳細資訊

嚴重性: High

ID: 70312

檔案名稱: cisco-sa-20130925-rsvp-iosxe.nasl

版本: 1.17

類型: local

系列: CISCO

已發布: 2013/10/7

已更新: 2019/11/27

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 5.8

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2013-5478

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:cisco:ios_xe

必要的 KB 項目: Host/Cisco/IOS-XE/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/9/24

弱點發布日期: 2013/9/25

參考資訊

CVE: CVE-2013-5478

BID: 62646

CISCO-BUG-ID: CSCuf17023

CISCO-SA: cisco-sa-20130925-rsvp