如果您错过了此灾难性严重性 1 漏洞,如果您不想将软件升级到未经正确测试的软件,请查看下面的临时解决方案。目前,在撰写本文时,还没有适用于整个 3560 系列交换机的软件升级解决方案。
思科咨询:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
Cisco Bug 76186 描述(需要登录)
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg76186
部门描述:
https://thehackernews.com/2018/04/cisco-switches-hacking.html
如果不使用智能安装,禁用智能安装是否可以防止漏洞?
希望很快就会有一些适当的软件升级。
我在此确认,禁用智能安装将防止此漏洞。
禁用前:
X@X:/mnt/c/Python$ python vstack.py -t 172.26.23.250
[*] Connecting to Smart Install Client 172.26.23.250 port 4786
[*] Send a malicious packet
在此开关崩溃并重新加载之后。
然后我no vstack在全局配置模式下使用并重试:
X@X:/mnt/c/Python$ python vstack.py -t 172.26.23.250
[*] Connecting to Smart Install Client 172.26.23.250 port 4786
Traceback (most recent call last):
File "vstack.py", line 32, in <module>
con.connect((options.target, options.port))
File "/usr/lib/python2.7/socket.py", line 224, in meth
return getattr(self._sock,name)(*args)
socket.error: [Errno 111] Connection refused
我们没有在 3000 台交换机上实现 vstack,因为我们不使用智能安装。