0x1b - ESCAPE
HTML PDF Postscript
 Cisco Bugs 
Computer Geschrieben von Beat Rubischon (Link) am Freitag, 26. Januar 2007, 09:01
aus dem *autsch* dept.

Cisco hat es wieder einmal geschafft. Ein Bug wie er im Buch steht, auslösbar unter anderem mit einem ICMP Echo Request. Mehr im Advisory, Sploits folgen bestimmt bald.

Der gleichzeitig releaste IPv6 Bug ist geradezu harmlos, der lässt sich mit einem no ipv6 source-route problemlos workarounden - sofern man nicht mit den diversen Mobile IPv6 Standards herumspielt.

Was mich dann aber irgendwie fasziniert ist der Satz All 12.4 releases are fixed. Wie alt ist 12.4? Etwa anderthalb Jahre? Wollen uns die Jungs erzählen, dass sie seit einer Ewigkeit von dem Bug wissen, aber erst jetzt wirklich eskalieren?

Der dritte releaste Bug, betrifft ein Memoryleak in TCP Verbindungen auf den Router selbst, ist auch schon etwas länger geflickt. Zumindest ist mein 836er mit mittlerweile 21 Wochen Uptime nicht betroffen.

Ich hoffe, dass Cisco irgendwann so etwas erlebt, wie Microsoft im Sommer '03. Ein halbes Jahr Probleme, die sofort missbraucht werden und den Weg in die Presse finden. Die derzeitige Strategie in Sicherheitsfragen ist alles andere als angemessen für einen Betrieb, an dem der grösste Teil des Internets hängt.

Permalink