Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案

最新推荐文章于 2020-04-26 14:40:23 发布
最新推荐文章于 2020-04-26 14:40:23 发布
阅读量287 收藏
点赞数 1
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/207792
版权

2016年10月5日,思科官网发布了存在于Cisco Nexus 7000系列和7700系列交换机中的OTV技术存在缓冲区溢出漏洞,此漏洞编号为CVE-2016-1453。该漏洞将导致攻击者执行任意代码,或者思科交换机的全部权限。官方已经给出升级补丁,如果您的交换机暂时无法升级,绿盟科技的专家给出了变通防护方案。

该漏洞位于Overlay Transport Virtualization(OTV)技术的GRE隧道协议实现中,由于对OTV包头部的参数没有进行完整校验,导致攻击者可以通过向受影响设备的OTV接口发送精心构造的OTV UDP数据包来执行任意代码,最终获得目标设备的全部权限。当这两个系列的产品启用OTV技术时会受到该漏洞的影响。

受OTV漏洞(CVE-2016-1453)漏洞影响的产品

  • Nexus 7000 Series Switches
  • Nexus 7700 Series Switches

不受OTV漏洞(CVE-2016-1453)影响的产品

  • Multilayer Director Switches
  • Nexus 1000 Series Switches
  • Nexus 2000 Series Fabric Extenders
  • Nexus 3000 Series Switches
  • Nexus 3500 Series Switches
  • Nexus 4000 Series Switches
  • Nexus 5000 Series Switches
  • Nexus 9000 Series Switches in NX-OS mode
  • Nexus 9000 Series Switches in ACI mode
  • Unified Computing System (UCS) 6100 Series Fabric Interconnects
  • Unified Computing System (UCS) 6200 Series Fabric Interconnects

什么是OTV

OTV是一个在分布式地域的数据中心站点之间简化2层扩展传输技术的工业解决方案. 使用OTV技术可以方便地在两个站点部署Data Center Interconnect (DCI),而不需要改变或者重新配置现有的网络.此外,使用OTV技术可以将不同地域的数据中心站点构建成统一的虚拟计算资源群集,实现工作主机的移动性,业务弹性以及较高的资源利用性。

Nexus 7000系列在Cisco NX-OS 5.0(3)及其后续版本中引入OTV技术;Nexus 7700系列在Cisco NX-OS 6.2(2)及其后续版本中引入OTV技术。

如何验证OTV是否打开

用户可以通过命令show running | include otv来检查交换机是否开启了OTV,举例如下:

nxos-switch# show running-config | include otv

feature otv

otv join-interface ...

nxos-switch#

如果返回了上面的结果表明开启了OTV。详情请见以下链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv

OTV漏洞(CVE-2016-1453)规避方案

升级到最新版本

思科官方已经发布了对Cisco NX-OS的版本更新,建议用户升级到最新版本,下载链接如下:

https://software.cisco.com/download/navigator.html?mdfid=281717634&selMode=null

无法升级情况下的变通方案

作为变通方案,可以按如下方式设置ACL,从而丢弃恶意的OTV包:

IP access list OTV_PROT_V1

10 deny udp any any fragments

20 deny udp any any eq 8472 packet-length lt 54

30 permit ip any any

实施以上规则时,有以下几点需要注意:

  1. deny udp fragment访问控制项必须放在ACL的第一行;
  2. 在上述ACL例子中,序号10-20之间以及20-30之间可以添加其他访问控制项,只要不跟序号10和20冲突即可;
  3. 该ACL必须配置为OTV连接接口的入口ACL;
  4. 上述ACL例子中作为目的地址的“any”,可以以多条访问控制项的形式替换为多个具体的OTV接口IP地址。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-nexus-7000-and-7700-switch-otv-buffer-overflow-vulnerability-cve-2016-1453

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

weixin_33691700
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器和交换机物理连接_交换机发生网络通信故障怎么解决?
weixin_39617470的博客
11-21 629
交换机故障一般可以分为硬件故障和软件故障两大类,交换机虽然不常发生故障,但是一旦发生故障后都不太好检测与排除。那么,当交换机发生网络通信故障了该怎么办呢?今天就由飞畅科技的小编来给大家说说交换机网络通信故障怎么办,感兴趣的朋友就一起来详细了解下吧。交换机网络通信故障怎么办一、物理层线路连接物理层线路连接是网络正常使用的提前,不得不指,很多时候所谓的网络故障是因为物理层线路接连所导致,比如:连接相...
分布式数据中心OTV介绍
08-28
OTV是一个典型的在分布式地域的数据中心站点之间简化2层扩展传输技术的工业解决方案. 使用OTV技术可以轻松在两个站点部署Data Center Interconnect (DCI),而不需要改变或者重新配置现有的网络.此外更要的,使用OTV技术可以将不同的地理域的数据中心站点构建统一的虚拟计算资源群集,实现工作主机的移动性,业务弹性以及较高的资源利用性. 主要的OTV特点包括: 在多个IP互联的数据中心站点扩展2层LAN网络 简单的配置和选项:与现有的网络无缝的接合,需要极少的配置(最少4条命令) 可靠的弹性:保留现有的3层故障边界,提供自动的多宿主
Cisco Nexus 交换机(中文)配置手册.pdf
03-08
cisco nexus 系列配置手册 1、产品概述 7K 只有 7K 支持 VDC(虚拟交换机)、OTV 透传vlan 的技术 5K 只有 5K 提供统一端口,既可以做 FC,也可以做以太网。默认不支持三层,通常认为是个二层设备。 4K 是 cisco 为 IBM 服务器定制的交换板卡 3K 有完整的二、三层能力、支持 nat。 2K 没有本地交换能力,其实是就是充当 7k/5k 的模块 1K 是虚拟交换机
新版思科EI CCIE认证企业基础架构技术-基于VXLAN的Cisco SD-Access Fabric数据平面
IE-lab网络实验室的博客
04-26 892
新版思科EI CCIE认证企业基础架构技术-基于VXLAN的Cisco SD-Access Fabric数据平面 与VLAN相比,VXLAN具有以下优点: ●在整个数据中心灵活放置多租户段。 VXLAN跨越了传统的第2层边界,在底层(Underlay)为第3层网络基础架构上扩展了第2层网段。(可以跨越三层网络传递二层网络的数据包) ●VXLAN支持1600多万个段(Segment),这些...
轻松过渡---数据中心的互连
weixin_34062469的博客
11-02 161
OTV(overlay transport virtualization) a) 用于数据中心的内部连接,基本上告知其它站点这些MAC地址是可达到的 b) 解决在两个设备之间进行转移巨大的负载的挑战 c) Tunneling over IP,OTVNexus OS操作系统封装内置IP包封装层2的以太网流的功能,允许流量从本地区...
cisco数据中心理论小记-3
weixin_34355715的博客
08-08 240
=====port channel=============STP-防环,非根非指定口block.PCH-带宽利用率提升,逻辑上单链路 l2/l3都可以使用passive -LACP /active-Lacp/ on-Static无协议-on有协商-LACPneuxs 不支持PACPvPC---纯二层 技术,没有三层功能vitrual Port channel解决的是跨框 ,...
农商银行主备数据中心OTV及ASA集群测试方案.pdf
10-13
农商银行主备数据中心OTV及ASA集群测试方案.pdf
电商和OTV&IPTV数据打通后的应用.pptx
10-14
电商和OTV&IPTV数据打通后的应用.pptx
NX-OS与Cisco Nexus交换技术 下一代数据中心架构 原书第2版.part3
01-31
详细介绍了Cisco NX-OS操作系统和Nexus系列交换机的功能特性和配置方式,包括各种二层功能特性(包括VLAN、PVLAN、vPC、SPT和FabricPath)、三层功能特性(包括EIGRP、OSPF、IS-IS、BGP以及FHRP)、IP多播、安全性、高...
NX-OS与Cisco Nexus交换技术 下一代数据中心架构 原书第2版.part1
01-31
详细介绍了Cisco NX-OS操作系统和Nexus系列交换机的功能特性和配置方式,包括各种二层功能特性(包括VLAN、PVLAN、vPC、SPT和FabricPath)、三层功能特性(包括EIGRP、OSPF、IS-IS、BGP以及FHRP)、IP多播、安全性、高...
OTV技术文档
08-16
Cisco OTV技术文档, 用于异地灾备的2层穿越。
什么是缓冲区溢出?有说明危害?
dreamispossible的博客
04-19 1万+
缓存溢出        缓存溢出(Buffer overflow) ,是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超常规长度的字符数来填满-一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。    &nbsp...
数据中心实验(八):OTV (上)
weixin_34067049的博客
10-23 1052
时间过的真快,一转眼,DC数据中心系列试验就进入到实验八要开始研究OTV了,基本这也是DCUFI(DataCenter UnifiedInfrastructure)系列实验里最后一块难啃的骨头。不过技术这东西,会者不难。对于OTV,我们兵分三个方面去突破,一切尽在掌握啦~第一,为啥需要OTVOTV又是啥?不用OTV有其他选择吗?第二,OTV的基本原理是怎样的?第三,OTV如...
大话一些大二层网络技术新兴术语,并总结它与OpenStack的关系 (by quqi99)
热门推荐
技术并艺术着
09-17 2万+
大话一些大二层网络技术新兴术语,并总结它与OpenStack的关系 (by quqi99) 作者:张华  发表于:2013-09-17 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99) OTV (Overlay Transport Virtualization), 核心思想是通过
大二层网络技术背景及主要技术方向
sunwenq的专栏
11-06 2万+
一、为什么需要大二层 传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。  虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心
Cisco N7K VDC 配置步骤 (精简版)
繁星流动天际
03-28 3298
目录 创建admin VDC(可选) 创建一个VDC资源模板(可选) 创建VDC,并分配接口(分配接口可选) 初始化新VDC 检查配置 ---------------创建admin VDC(可选)--------------- 第一次启动时," Do you want to enable admin vdc (yes/no) [no]:",选择"yes"。适用场景:对于全新部署推荐该方式 ...
交换机缓冲区存在的意义
视野是生命的宽度,沉淀是生命的密度
12-10 6978
有时又叫做包缓冲区大小,是一种队列结构,被交换机用来协调不同网络设备之间的速度匹配问题。突发数据可以存储在缓冲区内,直到被慢速设备处理为止。 缓冲区大小要适度,过大的缓冲空间会影响正常通信状态下数据包的转发速度(因为过大的缓冲空间需要相对多一点的寻址时间),并增加设备的成本。 而过小的缓冲空间在发生拥塞时又容易丢包错。 所以,适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值