hide.jikyllの日記: Cisco IPSにDoS脆弱性 2
日記 by
hide.jikyll
Cisco IPS(Intrusion Prevention System)にサービス不能攻撃を可能にする脆弱性が見つかった(The Registerの記事、Ciscoのアドバイザリ)。ジャンボフレームのパケットを投げつけるとカーネルパニックに陥るらしい。この影響を受けるのは、GbEインタフェースを持ち、インラインモードで設置されたIPS 5.x/6.0のプラットフォーム。6.1(1)に影響はない。修正の入手先および回避策については上記のアドバイザリを参照されたい。
事実上無問題 (スコア:1, 参考になる)
MTUを設定することはまずありえない、で、インラインIPSを入れるのは
普通CPE直後なのでJumboFlameを取り扱うことはまぁありえないでしょう
サーバーファームで内部セグメントを7kとか9kにすることはあるかもしれないけど、iSCSI+PXEなディスクレス環境でわざわざJumboFlameをEnableにしたから発覚したとか
そういう間抜けな話だったりして。
教訓:フレームサイズはみだりにいじらない。手間の割には効果は少ない
炎上 (スコア:2, おもしろおかしい)