CERTA-2001-AVI-143
Vulnerability from certfr_avis - Published: - Updated:
La performance des routeurs Cisco de la série 12000 peut être dégradée lorsqu'ils doivent envoyer un grand nombre de paquets ICMP de type 3 Destination Unreachable. Cette situation peut se produire notamment lors de scans réseau très importants.
Description
La fonction d'un routeur est d'envoyer les paquets IP vers la bonne interface, en fonction de l'adresse destination incluse dans le paquet IP. Lorsqu'il n'y a pas de chemin valide vers la destination ou que le chemin valide est l'interface Null0, le paquet IP est écarté et le routeur envoie à son émetteur un paquet ICMP de type 3 Destination Unreachable.
Lorsqu'un nombre important de paquets IP est écarté par un routeur et nécessite l'envoi de beaucoup de réponses Destination Unreachable, les ressources du processeur du routeur peuvent être saturées.
Cette situation peut se produire lorsque le routeur est utilisé au milieu d'un mécanisme de filtrage trou noir (*), ou lorsqu'il est victime d'une attaque en déni de service.
(*) La méthode de filtrage trou noir au sein d'un réseau étendu consiste en l'annonce, par un routeur trou noir, de routes statiques d'adresses, dans le but de les filtrer. En effet, les paquets IP circulant sur ce réseau et possédant une des adresses destination concernées, arriveront jusqu'au routeur trou noir, où ils seront alors écartés.
Contournement provisoire
L'envoi de réponse Destination Unreachable peut être supprimé ou limité sur l'interface du routeur par les commandes suivantes :
- suppression : no ip unreachables
- limitation : ip icmp rate-limit unreachable n ou n est le nombre de millisecondes entre deux paquets ICMP Destination Unreachable consécutifs.
Solution
Cisco tient à disposition de ses clients un correctif pour éliminer cette vulnérabilité et leur conseille d'utiliser les canaux habituels de mise à jour et de maintenance.
Routeurs Cisco Series 12000.
Les autres produits Cisco ne sont pas affectés.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eRouteurs Cisco Series 12000.\u003c/P\u003e \u003cP\u003eLes autres produits Cisco ne sont pas affect\u00e9s.\u003c/P\u003e",
"content": "## Description\n\nLa fonction d\u0027un routeur est d\u0027envoyer les paquets IP vers la bonne\ninterface, en fonction de l\u0027adresse destination incluse dans le paquet\nIP. Lorsqu\u0027il n\u0027y a pas de chemin valide vers la destination ou que le\nchemin valide est l\u0027interface Null0, le paquet IP est \u00e9cart\u00e9 et le\nrouteur envoie \u00e0 son \u00e9metteur un paquet ICMP de type 3 Destination\nUnreachable.\n\nLorsqu\u0027un nombre important de paquets IP est \u00e9cart\u00e9 par un routeur et\nn\u00e9cessite l\u0027envoi de beaucoup de r\u00e9ponses Destination Unreachable, les\nressources du processeur du routeur peuvent \u00eatre satur\u00e9es.\n\nCette situation peut se produire lorsque le routeur est utilis\u00e9 au\nmilieu d\u0027un m\u00e9canisme de filtrage trou noir (\\*), ou lorsqu\u0027il est\nvictime d\u0027une attaque en d\u00e9ni de service. \n\n(\\*) La m\u00e9thode de filtrage trou noir au sein d\u0027un r\u00e9seau \u00e9tendu\nconsiste en l\u0027annonce, par un routeur trou noir, de routes statiques\nd\u0027adresses, dans le but de les filtrer. En effet, les paquets IP\ncirculant sur ce r\u00e9seau et poss\u00e9dant une des adresses destination\nconcern\u00e9es, arriveront jusqu\u0027au routeur trou noir, o\u00f9 ils seront alors\n\u00e9cart\u00e9s.\n\n## Contournement provisoire\n\nL\u0027envoi de r\u00e9ponse Destination Unreachable peut \u00eatre supprim\u00e9 ou limit\u00e9\nsur l\u0027interface du routeur par les commandes suivantes :\n\n- suppression : no ip unreachables\n- limitation : ip icmp rate-limit unreachable n ou n est le nombre de\n millisecondes entre deux paquets ICMP Destination Unreachable\n cons\u00e9cutifs.\n\n## Solution\n\nCisco tient \u00e0 disposition de ses clients un correctif pour \u00e9liminer\ncette vuln\u00e9rabilit\u00e9 et leur conseille d\u0027utiliser les canaux habituels de\nmise \u00e0 jour et de maintenance.\n",
"cves": [],
"links": [
{
"title": "Avis Cisco :",
"url": "http://www.cisco.com/warp/public/707/GSR-unreachables-pub.shtml"
}
],
"reference": "CERTA-2001-AVI-143",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-11-16T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9gradation des performances du routeur"
}
],
"summary": "La performance des routeurs Cisco de la s\u00e9rie 12000 peut \u00eatre d\u00e9grad\u00e9e\nlorsqu\u0027ils doivent envoyer un grand nombre de paquets ICMP de type 3\n\u003cspan class=\"textit\"\u003eDestination Unreachable\u003c/span\u003e. Cette situation\npeut se produire notamment lors de scans r\u00e9seau tr\u00e8s importants.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans les routeurs Cisco",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Cisco",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.