1. 버그 CSCdr98772
URL은 최소한 하나이상의 ASCII code 32 또는 decimal로 된 공백으로 종결되어야 한다. 만약 이러한 공백으로 끝나지 않는 불완전한 URL를 입력할 경우 라우터가 무한 루프에 빠져 정지될 수 있는 위험이 존재하며 결국은 라우터의 파워를 종료하고 재시작하게 되어 DoS 원인을 일으키게 된다.
2. 버그 CSCds59206
설정값 이상의 SYN 패킷으로 인하여 사용가능한 TCP 소켓을 모두 소모시켜 더 이상의 새로운 추가적인 연결 설정을 불가능하게 한다.
3. 버그 CSCds19142
많은 라우터에서 동일한 패스워드를 사용하는 점을 이용하여 불법적으로 로그인한 후에 라우터의 환경설정을 임의로 바꿀수 있다.
4. 버그 CSCds23921
패킷크기가 65500 bytes인 ICMP ECHO (PING)패킷을 라우터에 보낼 경우 라우터가 정지될 수 있다.
결함기종
Cisco 600 라우터 패밀리군(627,633,673,675,675E,677,677i,678)중에서 다음과 같은 CBOS릴리즈 (2.0.1/2.1.0/2.1.0a/2.2.0/2.2.1/2.2.1a/2.3/2.3.2/2.3.5/2.3.7/2.3.8)를 사용하는 제품군
*단, CBOS 릴리즈 : 2.3.5.015, 2.3.7.002, 2.3.9 와 2.4.1.는 해당 안됨.
해결책
각각의 버그에 대한 해결책은 아래와 같다.
1. 버그 CSCdr98772 해결책
웹에서 라우터로 접근하는 IP 주소를 제한하는 방법, 웹서비스를 아예 제공하지 않는 방법과 디폴트로 사용되고 있는 80번 웹포트를 well known 포트가 아닌 다른 포트로 변경하는 방법등이 있다.
가. 웹에서 라우터로 접근하는 IP 주소를 제한하는 방법
*명령어 설정방법
enable mode 에서:
cbos# set web remote x.x.x.x <--허가할 IP 주소
cbos# set web enabled
나. 웹서비스를 제공하지 않는 방법
*명령어 설정방법
enable mode 에서:
cbos# set web disabled
다. 웹포트 변경하는 방법
*명령어 설정방법
cbos# set web port
cbos# write
cbos# reboot
* well known 포트가 아닌 다른 포트로 변경하여야만 한다.
2. 버그 CSCds59206 해결책
라우터에 대한 모든 TCP접근을 막아 원격에서 라우터 접근을 통제한다.
3. 버그 CSCds19142 해결책
Web Management interface 사용하지않도록 다음과 같이 설정한다.
*명령어 설정방법
enable mode에서 :
cbos# set web disabled
4. 버그 CSCds23921 해결책
들어오는 모든 ICMP ECHO (PING) 패킷에 대하여 수신 거부되도록 다음과 같이 설정한다.
*명령어 설정방법
cbos# set filter number on deny incoming all 0.0.0.0 0.0.0.0
protocol ICMP
cbos# set filter number+1 on deny incoming all 0.0.0.0 0.0.0.0
protocol ICMP
