Cisco informe les clients de ses commutateurs de centre de données Nexus de base pour corriger ou contourner une vulnérabilité qui pourrait laisser les boîtes ouvertes à une attaque par déni de service.
La vulnérabilité, trouvée dans le logiciel Nexus NX-OS, obtient un score de 8,6 sur 10 sur le Common Vulnerability Scoring System, ce qui en fait un problème à risque «élevé».
Cisco a déclaré que la vulnérabilité était due à un périphérique affecté qui décapsulait et traitait de manière inattendue les paquets IP-in-IP destinés à une adresse IP configurée localement. IP in IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP.
«Un exploit réussi pourrait entraîner la décapsulation inattendue du périphérique IP-in-IP et le transfert du paquet IP interne. Cela peut entraîner des paquets IP contournant les listes de contrôle d’accès en entrée (ACL) configurées sur le périphérique affecté ou d’autres limites de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait entraîner le blocage et le redémarrage du processus de pile réseau à plusieurs reprises, entraînant un rechargement de l’appareil affecté et une condition DoS. »
La vulnérabilité affecte une variété de commutateurs Nexus du Nexus 1000 Virtual Edge pour VMware vSphere à la Nexus 9000 Series.
Cisco a déclaré qu’une solution de contournement consiste à configurer les listes de contrôle d’accès à l’infrastructure (iACL) pour ne laisser que la gestion requise et le trafic du plan de contrôle atteindre le périphérique affecté, comme recommandé dans le Guide Cisco pour la sécurisation des périphériques logiciels NX-OS.
«Les clients peuvent également envisager de refuser explicitement tous les paquets IP avec le numéro de protocole 4 (correspondant aux paquets IP-in-IP) dans le cadre de leurs iACL, si aucun trafic IP-in-IP légitime n’est utilisé dans leur réseau. Une politique de contrôle du plan de contrôle (CoPP) personnalisée peut également être utilisée pour supprimer le trafic IP-in-IP destiné à un périphérique affecté; cependant, la prise en charge de la personnalisation CoPP varie selon les plates-formes Nexus et les versions logicielles. »
Les clients sont invités à contacter leur organisation d’assistance pour obtenir de l’aide afin d’évaluer la faisabilité d’une solution de contournement et d’en implémenter une sur un appareil affecté, a déclaré Cisco. Cisco a également déclaré que le vérificateur de logiciels Cisco identifie les avis de sécurité Cisco qui affectent des versions spécifiques du logiciel Cisco NX-OS et nomme la première version corrigeant les vulnérabilités décrites dans chaque avis, appelée «First Fixed».
En outre, la société a déclaré avoir publié des mises à jour logicielles gratuites qui corrigent la vulnérabilité.
Il serait bon de mettre à jour nos logiciels.
Est-ce que cela affecte tous les modèles de commutateurs Nexus?
Avez-vous des conseils sur la manière de mettre à jour nos commutateurs Nexus?
Merci pour l’information.
Comment pouvons-nous évaluer la faisabilité d’une solution de contournement?
C’est toujours stressant de savoir que nos systèmes pourraient être vulnérables.
Pouvons-nous nous fier aux mises à jour logicielles gratuites pour corriger cela?
Merci pour les conseils de contournement.
Merci pour l’information, c’est important de savoir comment protéger nos appareils.
Je vais devoir demander à quelqu’un de m’aider avec cette configuration de listes de contrôle d’accès. Cela semble compliqué.
Il est essentiel de protéger nos appareils contre de telles failles.
Il est bon de savoir que des mises à jour logicielles gratuites sont disponibles pour résoudre ce problème.
Cela semble être un problème sérieux.
Merci pour l’information, c’est important de savoir comment gérer ce genre de problèmes de sécurité.
Espérons que le recommandations de Cisco sont bonnes pour éviter cette vulnérabilité. Merci pour l’info!
J’espère que Cisco pourra aider tous ceux qui ont besoin de corriger cette vulnérabilité sur leurs appareils Nexus.
C’est bien d’avoir des solutions de contournement recommandées pour les personnes qui ne peuvent pas mettre à jour leur logiciel immédiatement.
J’espère que les clients recevront un bon soutien pour mettre en œuvre ces correctifs.
J’espère que les clients trouveront de l’aide pour évaluer et corriger ce problème.
C’est effrayant de penser à une attaque par déni de service, mais je suis content que Cisco ait publié des mises à jour pour corriger ça.
Les avis de sécurité Cisco sont utiles pour savoir si notre logiciel est concerné, merci pour cette information.
Est-ce que c’est quelque chose que seulement les professionnels peuvent corriger?
Je me sens un peu inquiet après avoir lu ça, mais je vais vérifier avec mon équipe pour voir comment résoudre ce problème.
La sécurité informatique est si complexe, merci pour les conseils pour gérer cette vulnérabilité.
Je ne comprends pas trop, mais c’est mieux de vérifier avec l’assistance technique.
Il semble que Cisco a bien documenté les mesures à prendre pour traiter la vulnérabilité, ce qui est rassurant.
J’apprécie que Cisco ait des solutions pour aider à limiter l’impact de cette vulnérabilité.
C’est alarmant, mais je suis soulagé de savoir qu’il y a des solutions pour gérer ce problème.
Je ne savais pas que c’était possible, merci pour les explications détaillées.
Merci pour l’explication claire de la vulnérabilité.
Cela semble être un problème compliqué… Heureusement, Cisco est là pour aider à trouver des solutions.
Est-ce que cela affecte tous les commutateurs Nexus?
C’est effrayant de penser à une attaque par déni de service, mais les informations sont utiles.
C’est bien que Cisco ait publié des mises à jour pour corriger la vulnérabilité. Merci pour l’avertissement.
Merci pour les informations, c’est utile.
Merci de nous tenir au courant des problèmes de sécurité potentiels.
C’est effrayant de penser à l’impact d’une attaque par déni de service. Heureusement, il y a des solutions de contournement.
J’espère que les clients de Cisco prendront ces avertissements au sérieux.