CVE-2018-0172
Cisco IOS and IOS XE Software
2022-03-03
A vulnerability in the DHCP option 82 encapsulation functionality of Cisco IOS Software and Cisco IOS XE Software could allow for denial-of-service (DoS).
Технический анализ и план устранения
Суть уязвимости
Уязвимость в функции обработки DHCP option 82 (Relay Agent Information) в Cisco IOS и IOS XE. Злоумышленник может отправить специально сформированный DHCP-пакет с опцией 82 на уязвимое устройство, что приведет к перезагрузке процесса dhcpd или всего устройства, вызывая отказ в обслуживании (DoS).
Как исправить
Установите исправленную версию ПО Cisco IOS/IOS XE. Конкретные фиксированные версии зависят от вашей основной ветки. Обновитесь до одной из следующих или более поздних версий:
- Для ветки IOS XE 16.x: 16.3.8, 16.4.3, 16.5.2, 16.6.2
- Для ветки IOS XE 3.x: 3.18.2SP
- Для ветки IOS 15.x: 15.6(3)M2, 15.7(3)M
Процедура обновления:
1. Скачайте исправленный образ с сайта Cisco.
2. Загрузите его на устройство (например, в слот flash).
bash
copy tftp://<TFTP-сервер>/<имя-образа>.bin flash:
3. Настройте устройство на загрузку с нового образа и перезагрузите.
bash
configure terminal
boot system flash:<имя-образа>.bin
end
write memory
reload
Временное решение
Если немедленное обновление невозможно, отключите обработку опции DHCP 82 (Relay Agent Information) на интерфейсах, где она не требуется.
Отключение опции 82 на интерфейсе:
configure terminal
interface <тип и номер интерфейса> (например, GigabitEthernet0/1)
no ip dhcp relay information trust-all
no ip dhcp relay information option
end
write memory
Рекомендация: Примените эту конфигурацию ко всем интерфейсам, обращенным к ненадежным сетям (например, пользовательским или внешним). На интерфейсах, обращенных к доверенной инфраструктуре (где опция 82 необходима для корректной работы), отключать ее не следует.