Cisco IOS XE 软件资源预留协议接口队列插入漏洞 (cisco-sa-20130925-rsvp)
high Nessus 插件 ID 70312
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
Cisco IOS XE 软件的资源预留协议 (RSVP) 功能中的一个漏洞,允许未经认证的远程攻击者在受影响的设备上触发接口队列插入。造成该漏洞的原因是,未正确解析 UDP RSVP 数据包。攻击者可通过将 UDP 端口 1698 RSVP 数据包发送到易受攻击的设备来利用此漏洞。利用此漏洞可造成 Cisco IOS XE 软件错误地处理传入数据包,从而导致接口队列插入,这样可导致出现连接丢失、路由协议邻近性丢失和其他拒绝服务 (DoS) 情况。Cisco 已发布解决此漏洞的免费软件更新。可以使用缓解此漏洞的解决方法。请注意,此插件会检查受影响的 IOS XE 版本,但不会尝试执行任何其他有效性检查。
解决方案
应用 Cisco 安全公告 cisco-sa-20130925-rsvp 中提及的相关修补程序。另见
插件详情
严重性: High
ID: 70312
文件名: cisco-sa-20130925-rsvp-iosxe.nasl
版本: 1.18
类型: combined
系列: CISCO
发布时间: 2013/10/7
最近更新时间: 2024/5/3
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2013-5478
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:cisco:ios_xe
必需的 KB 项: Host/Cisco/IOS-XE/Version
易利用性: No known exploits are available
补丁发布日期: 2013/9/24
漏洞发布日期: 2013/9/25
参考资料信息
CVE: CVE-2013-5478
BID: 62646
CISCO-SA: cisco-sa-20130925-rsvp
CISCO-BUG-ID: CSCuf17023