CVE-2018-0167

Cisco IOS, XR, and XE Software

ВЕРОЯТНОСТЬ 1.2%

Дата обнаружения

2022-03-03

Официальное описание

There is a buffer overflow vulnerability in the Link Layer Discovery Protocol (LLDP) subsystem of Cisco IOS Software, Cisco IOS XE Software, and Cisco IOS XR Software which could allow an unauthenticated, adjacent attacker to cause a denial of service (DoS) condition or execute arbitrary code.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-0167) — это переполнение буфера в реализации протокола LLDP (Link Layer Discovery Protocol). Злоумышленник, имеющий доступ к соседнему устройству в сети (adjacent attacker), может отправить специально сформированный LLDP-пакет на целевой коммутатор или маршрутизатор Cisco. Это приводит к: * Отказу в обслуживании (DoS): Аварийному завершению работы процесса или перезагрузке устройства. * Выполнению произвольного кода: Возможности запустить свой код на устройстве с привилегиями процесса LLDP.

Как исправить

Основной метод — обновление ПО до версии, в которой уязвимость устранена. Для каждой линейки ПО требуются свои фиксированные версии.

1. Определите текущую версию ПО:

show version

2. Обновите устройство до исправленной версии: * Для Cisco IOS: Обновитесь до версии 15.6(3)M2 или более поздней из ветки 15.6(3)M. * Для Cisco IOS XE: Обновитесь до одной из следующих версий: * 16.3.4 или новее * 16.4.2 или новее * 16.5.1b или новее * 16.6.1 или новее * Для Cisco IOS XR: Обновитесь до версии 6.4.1 или новее.

Процедура обновления (пример для IOS/IOS XE):

# Скопируйте новый образ на устройство (например, через TFTP)
copy tftp://<server_ip>/<new_image_name>.bin flash:

# Укажите устройству загружать новый образ при следующей перезагрузке
configure terminal
boot system flash:<new_image_name>.bin
end
write memory

# Запланируйте перезагрузку в период минимальной нагрузки
reload at <HH:MM> <Day Month>

Временное решение

Если немедленное обновление невозможно, отключите протокол LLDP на интерфейсах, где он не требуется для работы сети (например, на edge-портах, обращенных к пользователям или ненадежным сетям).

1. Отключите LLDP глобально (предпочтительный метод):

configure terminal
no lldp run
end
write memory

2. Или отключите LLDP только на конкретных интерфейсах:

configure terminal
interface <interface_type> <interface_number>  # Например, GigabitEthernet0/1
no lldp transmit
no lldp receive
end
write memory

Важно: Отключение LLDP может повлиять на работу систем обнаружения топологии, телеметрии и управления сетью. Перед применением оцените последствия.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей