iOS XR 是一款模块化、分布式的网络操作系统。
9月8日,安全公告发布了关于 ASR9000 系列路由器所搭载的 iOS XR 软件中发现的拒绝服务漏洞,建议尽快升级。以下为漏洞详情:
漏洞详情
CVE-2021-34713 CVSS 评分:7.4 高
在 ASR 9000 系列聚合服务路由器上运行的 iOS XR 软件的第 2 层底层代码中存在一个漏洞,该漏洞可能允许未经过身份验证的相邻攻击者导致受影响的线卡重新启动。
此漏洞源于对特定以太网帧的不正确处理,可能触发自旋循环,从而使网络处理器失去响应。攻击者可在连接受影响线卡的网段上发送特定类型的以太网帧来利用此漏洞。成功利用可能导致受影响的线卡重新启动。
受影响产品
当满足以下所有条件时,此漏洞会影响 iOS XR 软件:
- iOS XR 软件版本为 6.4.0 版或更高版本,但早于第一个固定版本。
- 该软件在 ASR 9000 系列聚合服务路由器上运行。
- 这些路由器安装了 Typhoon 或 ToMahawk 以太网卡。
解决方案
iOS XR 软件的修复版本为:
- 6.4、6.5 版本升级至可修复版本
- 6.6 版本升级至 6.6.3 版本
- 6.7 版本升级至 6.7.1 版本
- 7.0 版本升级至 7.0.2 版本
- 7.1 版本升级至 7.1.1 版本
