思科(Cisco)正告知其Nexus核心数据中心交换机的用户，无极4账号注册让他们修复或解决一个可能导致服务器遭到拒绝服务攻击的漏洞。

 

在Nexus NX-OS软件中发现的这一漏洞在普通漏洞评分系统中得到8.6分(满分10分)，使其成为一个“高”风险问题。

 

思科表示，这一漏洞是由于受影响的设备意外地拆封和处理IP中的IP数据包，这些数据包的目的地是一个本地配置的IP地址。IP中的IP是一种隧道协议，它将一个IP包包装在另一个IP包中。

 

“一个成功的漏洞可能导致受影响的设备意外地将IP-in-IP包的胶囊去掉并转发内部IP包。”这可能导致IP数据包绕过在受影响设备上配置的输入访问控制列表(acl)或网络中其他地方定义的安全边界，”Cisco声明。“在某些情况下，无极4注册登录一个漏洞可能导致网络堆栈进程崩溃并重启多次，导致重新加载受影响的设备和DoS条件。”

 

该漏洞影响了从VMware vSphere的Nexus 1000虚拟边界到Nexus 9000系列的各种Nexus交换机。

 

思科表示，解决办法是配置基础设施访问控制列表(iACLs)，只允许所需的管理和控制飞机流量到达受影响的设备，正如思科安全NX-OS软件设备指南中建议的那样

 

如果客户的网络中没有使用合法的IP-in-IP流量，无极4产品客户也可以考虑明确地拒绝将所有协议号为4(对应IP-in-IP数据包)的IP数据包作为其iacl的一部分。还可以使用定制的控制计划策略(control-plan -， CoPP)来删除发送到受影响设备的IP-in-IP流量;然而，对CoPP定制的支持因不同的Nexus平台和软件版本而异。”

 

思科表示，建议客户联系他们的支持组织，以帮助评估变通方案的可行性，并在受影响的设备上实施变通方案。思科还表示，思科软件检查程序识别出影响特定思科NX-OS软件版本的思科安全建议，并指出修复每个建议中描述的漏洞的最早版本，称为“首次修复”。

 

此外，该公司还表示已经发布了免费软件更新来解决该漏洞。