int(226)

Vulnerability Bulletins

Denegación de servicio en OSPF de Cisco IOS

Vulnerability classification
Property Value
Confidence level Oficial
Impact Denegación de Servicio
Dificulty Principiante
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer Networking
Affected software Cisco IOS software 11.1 - 12.0

Description
La implementación Open Shortest Path First (OSPF) en determinadas versiones de Cisco IOS es vulnerable a una denegación de servicio si recibe una inundación de avisos vecinos en los cuales más de 255 anfitriones intentan establecer una relación vecina por interfaz.

Solution
A continuación se presentan algunas medidas para mitigar el impacto de esta vulnerabilidad y subsanarla.


Una primera solución consiste en configurar la autenticación MD5 de OSPF. Esto se puede hacer por interfaz o bien por area.
Consulte la siguiente referencia de Cisco
http://www.cisco.com/warp/public/104/25.shtml#4.

Otra posible solución pasa por aplicar listas de acceso para permitir la entrada explícitamente a ciertos vecinos OSPF según se muestra a continuación:
access-list 100 permit ospf host a.b.c.x host 224.0.0.5
access-list 100 permit ospf host a.b.c.x host interface_ip
access-list 100 permit ospf host a.b.c.y host 224.0.0.5
access-list 100 permit ospf host a.b.c.y host interface_ip
access-list 100 permit ospf host a.b.c.z host 224.0.0.5
access-list 100 permit ospf host a.b.c.z host interface_ip
access-list 100 permit ospf any host 224.0.0.6
access-list 100 deny ospf any any
access-list 100 permit ip any any

Actualización de software

Instale una de las siguientes versiones de Cisco IOS
12.0(19)S
12.0(19)ST
12.1(1)
12.1(1)DB
12.1(1)DC
12.1(1)T

Standar resources
Property Value
CVE CAN-2003-0100
BID

Other resources
Cisco Response to Cisco IOS OSPF Exploit
http://www.cisco.com/warp/public/707/cisco-sn-20030221-ospf.shtml

BUGTRAQ
http://marc.theaimsgroup.com/?l=bugtraq&m=104576100719090&w=2

Version history
Version Comments Date
1.0 Aviso emitido 2003-02-24
Ministerio de Defensa
CNI
CCN
CCN-CERT