Cisco Smart Install 问题说明及操作指南

2018-04-10

Cisco Smart Install


 

问题说明及操作指南

 

 2018 年 4 月


1.  问题影响范围

 

 

针对近期思科发布的关于“Smart Install 智能安装”的安全问题,而造成的潜在威胁事件,经过评估,潜在受到影响的产品包括:(如果产品不启用

Smart Install Client 功能将不受到影响)

 

Catalyst 2960

 

Catalyst 2960-C

 

Catalyst 2960-CX

 

Catalyst 2960-L

 

Catalyst 2960-P

 

Catalyst 2960-S

 

Catalyst 2960-SF

 

Catalyst 2960-X

 

Catalyst 2960-XR

 

Catalyst 2975

 

Catalyst 3560

 

Catalyst 3560-C

 

Catalyst 3560-CX

 

Catalyst 3560-E

 

Catalyst 3560-X

 

Catalyst 3650

 

Catalyst 3750

 

Catalyst 3750 Metro Series

 

Catalyst 3750-E

 

Catalyst 3750-X

 

Catalyst 3850

 

Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE

 

Catalyst 6500 Supervisor Engine 2T-10GE

 

IE 2000

 

IE 3000

 

IE 3010

 

IE 4000

IE 4010

 

IE 5000

 

ME 3400E Series Ethernet Access

 

ME 3400 Series Ethernet Access

 

NME-16ES-1G-P

 

SM-ES2 SKUs

 

SM-ES3 SKUs

 

SM-X-ES3 SKUs

 

2.  检测手段

 

 

对于潜在受影响的产品,思科提供如下的检查方法,采用以下任意的一种方法检测,结果如红色字体标识,则定位该设备可能存在潜在问题。

 

 

方法一:通过命令确认 Smart Install 功能是否开启

 

在设备的命令行界面中输入命令,可以直接检查 Smart Install 功能是否开启,命令执行结果如下所示:

 

switch>show vstack config | inc Role Role:Client (SmartInstall enabled)

 

 

switch>show vstack config | inc Role Role:Director (SmartInstall enabled)

如果命令行输出显示包含上述任一结果(如红色字体所示),该设备可能潜在受到影响。

 

 

 

方法二:通过命令确认 Smart Install 所使用的 TCP 端口是否激活

 

对于部分软件版本过于陈旧的设备,命令行不支持“vstack”相关命令,但也可能存在该问题,可以通过直接检查 TCP 端口 4786 是否激活的方式,用于确认是否存在该潜在问题,命令执行结果如下所示:

 

switch>show tcp brief all



TCB

Local Address

Foreign Address

(state)

05FD9F98

0.0.0.0.4786

*.*

LISTEN

0568FFFC

0.0.0.0.443

*.*

LISTEN

0568F038

0.0.0.0.443

*.*

LISTEN

0568E428

0.0.0.0.80

*.*

LISTEN

0568D818

0.0.0.0.80

*.*

LISTEN

 

如果命令行输出显示 4786 端口处于监听状态(如红色字体所示),该设备可能潜在受到影响。



本网站由阿里云提供云计算及安全服务 Powered by CloudDream