思科(Cisco)本周發(fā)布安全公告，警告旗下采用Linux操作系統(tǒng)核心的網(wǎng)絡(luò)產(chǎn)品存在名為FragmentStack的阻斷服務(wù)(Denial of Service，DoS)的漏洞，影響路由器、交換器等88項產(chǎn)品，導(dǎo)致系統(tǒng)停止回應(yīng)。

　　代號為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC揭露，影響Linux核心3.9以上版本。遠(yuǎn)程攻擊者可傳送低速的惡意IP封包，影響數(shù)據(jù)片段重組（fragment reassembly）過程引發(fā)DoS攻擊，使CPU容量超載而導(dǎo)致系統(tǒng)停止回應(yīng)。這種手法已經(jīng)流行數(shù)年，也已有修補程序。

　　之前FragmentSmack只影響Windows系統(tǒng)，最新漏洞則連Linux也遭殃。Akamai、Amazon、Juniper Networks及Linux廠商也相繼發(fā)布修補程序。

　　思科隨后調(diào)查旗下使用Linux核心3.9版以上的產(chǎn)品，并于本周公布受影響產(chǎn)品名單。包括Cisco IOS XE軟件、多款vEdge路由器系列、Nexus交換機(jī)系列和Aironet AP產(chǎn)品等網(wǎng)絡(luò)及管理設(shè)備、Telepresence視訊產(chǎn)品、WLAN設(shè)備共88項產(chǎn)品受到影響。

　　鑒于涉及到的產(chǎn)品線不同，補丁預(yù)計會在2018年9月到2019年2月之間陸續(xù)發(fā)出。而在此之前，思科建議網(wǎng)管人員使用限速措施，如訪問控制列表(ACL)或CoPP(Control Plane Policing)來控制進(jìn)入的IP封包片段。另外，使用外部防火墻或網(wǎng)站前端設(shè)備中的ACL也能有效控制IP片段的進(jìn)入，算是臨時的安全防護(hù)方案吧。