Cisco IOS SSH服务器多个拒绝服务漏洞

BUGTRAQ ID: 29314 CVE(CAN) ID: CVE-2008-1159 Cisco IOS是思科网络设备中所使用的互联网操作系统。 Cisco IOS中SSH实现的服务端存在多个漏洞，允许未经认证的用户生成伪造的内存访问错误或在某些情况下重载设备。如果攻击者能够重载设备的话，就可以反复利用这些漏洞导致持续的拒绝服务。 IOS SSH服务器是默认禁用的可选服务，但作为管理Cisco IOS设备的最佳安全实践，强烈建议使用这个服务。 Cisco IOS 12.4 临时解决方法： * 应用VTY访问类，仅允许已知的可信任主机通过SSH连接到设备。以下示例允许192.168.1.0/24网段及单个IP地址172.16.1.2对VTY的访问，拒绝任何其他访问： Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit host 172.16.1.2 Router(config)# line vty 0 4 Router(config-line)# access-class 1 in * 部署以下基础架构ACL（iACL） !--- Permit SSH services from trusted hosts destined !--- to infrastructure addresses. access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 22 !--- Deny SSH packets from all other sources destined to infrastructure addresses. access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES MASK eq 22 !--- Permit all other traffic to transit the device. access-list 150 permit IP any any interface serial 2/0 ip access-group 150 in * 部署以下控制面整型（CoPP） access-list 152 deny tcp TRUSTED_ADDRESSES MASK any eq 22 access-list 152 permit tcp any any eq 22 ! class-map match-all COPP-KNOWN-UNDESIRABLE match access-group 152 ! ! policy-map COPP-INPUT-POLICY class COPP-KNOWN-UNDESIRABLE drop ! control-plane service-policy input COPP-INPUT-POLICY 厂商补丁： Cisco ----- Cisco已经为此发布了一个安全公告（cisco-sa-20080521-ssh）以及相应补丁: cisco-sa-20080521-ssh：Cisco IOS Secure Shell Denial of Service 链接：<a href=http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml target=_blank>http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml</a>