Cisco IOS LPD远程缓冲区溢出漏洞

漏洞信息详情

Cisco IOS LPD远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200710-208
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2007-5381
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2007-10-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-10-24
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Andy Davis※ adviso…

Cisco IOS是Cisco网络设备中所使用的操作系统。

Cisco IOS的LPD服务在处理超长的设备名时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制设备或导致设备拒绝服务。

行式打印机服务(LPD)用于在Cisco IOS中提供打印服务。如果IOS中配置了LPD守护程序的话，该服务会监听于默认的LPD端口TCP 515。如果任何非515的源TCP端口进行连接时，就会显示以下错误：

$ telnet 172.30.3.101 515

Trying 172.30.3.101…

Connected to 172.30.3.101 (172.30.3.101).

Escape character is \’\’^]\’\’.

hostname_of_the_router： /usr/lib/lpd： Malformed from address

如果主机名大于等于99个字符的话，就会由于调用sprintf()函数而导致溢出。尽管技术上是栈溢出，但由于IOS为进程栈分配堆内存，因此所覆盖的内存实际为堆。由于堆内存用作了栈，在出现溢出时主机名可以覆盖存储在字符缓冲区开始之前的返回地址，但由于某些原因在缓冲区到达堆块边界处的red zone之前不会出现崩溃，因此在出现崩溃和路由器重启后，内存dump显示的是堆破坏。

必须要控制主机名才能利用这个漏洞。如果设备上在运行SNMP且知道rw团体字符串(通常为默认值private)，就可以如下设置主机名：

$ snmpset -Os -c private -v 1 10.0.0.1 system.sysName.0 s long_hostname

临时解决方法：

* 使用no printer命令禁用LPD服务。

* 配置访问列表限制对TCP 515端口的访问。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.cisco.com/warp/public/707/advisory.html

来源: US-CERT

名称: VU#230505

链接:http://www.kb.cert.org/vuls/id/230505

来源: XF

名称: cisco-ios-lpd-bo(37046)

链接:http://xforce.iss.net/xforce/xfdb/37046

来源: BID

名称: 26001

链接:http://www.securityfocus.com/bid/26001

来源: MISC

链接:http://www.irmplc.com/index.php/155-Advisory-024

来源: VUPEN

名称: ADV-2007-3457

链接:http://www.frsirt.com/english/advisories/2007/3457

来源: CISCO

名称: 20071010 Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow

链接:http://www.cisco.com/en/US/products/products_security_response09186a00808d72e3.html

来源: SECUNIA

名称: 27169

链接:http://secunia.com/advisories/27169

来源: OSVDB

名称: 37935

链接:http://osvdb.org/37935

来源: SECTRACK

名称: 1018798

链接:http://www.securitytracker.com/id?1018798