Der Fehler betrifft laut Hersteller alle Geräte, auf denen IOS läuft und die für Version 4 des Internet Protocol (IP) konfiguriert sind. Das ist die Voreinstellung aller Cisco-Produkte. Unter IPv6 tritt der Fehler nicht auf, auch die IOS-Versionen 12.2ZF, 12.2ZG, 12.2ZH, 12.2ZJ, 12.2ZL und 12.3 sind sicher.

Angreifer können die Schwachstelle ausnutzen, indem sie eine bestimmte Abfolge von Datenpaketen an einen Router senden. Durch den Fehler setzt das IOS die Markierung für die betreffende Input-Queue auf "voll". Auf dem entsprechenden Netz-Interface wird danach kein weiterer eingehender Datenverkehr mehr verarbeitet.

Cert/CC schlägt Alarm

Da angegriffene Komponenten keine Alarme aussenden, könnte eine gezielte Attacke große Teile einer Netzinfrastruktur lahm legen, bevor etwas auffällt. Das Computer Emergency Response Team Coordination Center (Cert/CC) hat daher eine Warnung ausgegeben und empfiehlt, so schnell wie möglich Patches aufzuspielen, die Cisco im Internet zur Verfügung stellt. Laut Cert/CC sind bereits Tools im Umlauf, die diese Schwachstelle gezielt ausnutzen (www.cert.org/advisories/CA-2003-17.html). Die Spezialisten halten es für "wahrscheinlich", dass Eindringlinge diese Werkzeuge benutzen, um gezielt Serviceausfälle zu provozieren.

Die Patches sind über Ciscos Security-Bulletin (www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml) zu erreichen. Darin beschreibt der Hersteller außerdem, wie die unterschiedlichen IOS-Versionen zu bereinigen sind. (ave)