思科（Cisco）本周發(fā)布安全公告，警告旗下采用Linux操作系統(tǒng)核心的網(wǎng)絡產(chǎn)品存在名為FragmentStack的阻斷服務（DenialofService，歐洲服務器租用 云服務器，DoS）漏洞，可影響路由器、交換器等88款產(chǎn)品，香港免備案主機 美國服務器，導致系統(tǒng)停止響應。

思科曝出88款網(wǎng)絡產(chǎn)品存在LinuxDoS漏洞

代號為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC機構揭露，覆蓋Linux核心3.9以上版本。遠程攻擊者可傳送低速的惡意IP封包，影響數(shù)據(jù)片段重組（fragmentreassembly）過程進而引發(fā)DoS攻擊，使CPU容量超載而導致系統(tǒng)掛掉。不過此種手法已流行了數(shù)年，亦有專門的更新程序推出。

最初FragmentSmack只影響Windows系統(tǒng)，然而最新的變種則會讓Linux也中招。目前Amazon、JuniperNetworks及Linux廠商相繼推出了針對性補丁程序。

隨后思科開始核查旗下采用Linux核心3.9版以上的產(chǎn)品，并于本周公布受影響產(chǎn)品名單?，F(xiàn)在已知的是，包括CiscoIOSXE軟件、多款vEdge路由器系列、Nexus交換機系列和AironetAP產(chǎn)品等網(wǎng)絡及管理設備、Telepresence視訊產(chǎn)品、WLAN設備共88項產(chǎn)品受到影響。

鑒于涉及到的產(chǎn)品線不同，補丁預計會在2018年9月到2019年2月之間陸續(xù)推出。而在此之前，思科建議網(wǎng)管人員使用限速措施，如訪問控制列表（ACL）或CoPP（ControlPlanePolicing）來控制進入的IP封包片段。另外，使用外部防火墻或網(wǎng)站前端設備中的ACL也能有效控制IP片段的進入，算是臨時的安全防護方案吧。