Vigil@nce : Cisco IPS, déni de service via jumbo Ethernet
juin 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut envoyer une trame jumbo Ethernet afin de stopper
Cisco IPS en mode inline.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : LAN
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 18/06/2008
Référence : VIGILANCE-VUL-7902
PRODUITS CONCERNÉS
– Cisco IPS [versions confidentielles]
DESCRIPTION
Le produit Cisco IPS peut être installé :
– en mode inline (coupure)
– en mode promiscuous (capture)
– en mode hybride (les deux)
Lorsque Cisco IPS est en mode inline, et avec des cartes Ethernet
Gigabit, un attaquant peut envoyer une trame jumbo Ethernet
illicite afin de stopper l’IPS (kernel panic).
Un attaquant du réseau peut ainsi empêcher le transit de données,
sauf pour les plateformes 4260 et 4270 qui ont la fonctionnalité
"hardware bypass" (laisse transiter les paquets mais sans analyse).
CARACTÉRISTIQUES
Références : 107191, BID-29791, cisco-sa-20080618-ips, CSCso64762, CVE-2008-2060, VIGILANCE-VUL-7902