DFN-CERT-2017-1083 Cisco ASR 5000 Series Routers: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Netzwerk][Cisco]

DFN-CERT-2017-1083 Cisco ASR 5000 Series Routers: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco StarOS 21.0 M0.64246
Cisco StarOS 21.0 M0.64702
Cisco StarOS 21.0.0
Cisco Virtualized Packet Core (VPC)

Betroffene Plattformen:

Cisco ASR 5000
Cisco ASR 5500

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Cisco StarOS für Cisco ASR 5000 Series Routers für einen Denial-of-Service
(DoS)-Angriff ausnutzen.

Cisco bestätigt die Schwachstelle für Cisco ASR 5000 Series Routers und
Virtualized Packet Core (VPC) Software und verweist bezüglich betroffener
Versionen auf die Cisco Bug ID CSCvc21129. In der CVRF-Version (XML) des
Advisories sind als verwundbar die Versionen 21.0.0, 21.0 M0.64246 und 21.0
M0.64702 der Cisco ASR 5000 Series Software StarOS enthalten, während in der
Cisco Bug ID unter ‘Known Affected Releases’ die Versionen 21.1.0,
21.1.M0.65601 und 21.1.v0 genannt werden. Der Hersteller kündigt dort
lediglich an, dass die Schwachstelle für Cisco ASR 5000/5500 Series Router
in Version 21.1 und für Cisco Virtualized Packet Core (VPC) in Version 5.1
behoben wird. Der Status wird mit ‘Fixed’ angegeben und unter ‘Known Fixed
Releases’ werden verschiedene Versionen von Cisco StarOS aufgeführt.

Patch:

Cisco Security Advisory cisco-sa-20170621-asr (CVE-2017-3865)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-asr

CVE-2017-3865: Schwachstelle in Cisco StarOS for ASR 5000 Series Routers
ermöglicht Denial-of-Service-Angriff

In der IPsec-Komponente von Cisco StarOS für Cisco ASR 5000 Series Routers
existiert eine Schwachstelle aufgrund der unsauberen Verarbeitung von
Internet Key Exchange (IKE) Nachrichten. Ein Angreifer kann diese
Schwachstelle ausnutzen, indem er präparierte IKE-Nachrichten an einen
betroffenen Router sendet, um einen Neustart des ‘ipsecmgr’-Dienstes zu
bewirken, wodurch alle IPsec VPN-Tunnel abgebrochen und der Aufbau neuer
Tunnel solange verhindert wird, bis der Dienst gestartet ist.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1083/

Cisco Security Advisory cisco-sa-20170621-asr (CVE-2017-3865):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-asr

Schwachstelle CVE-2017-3865 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3865

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben