Cisco Nexus BGP DoS Vulnerability: Transitive Attribute Parsing Flaw (CVE-2025-20171)

Cisco Nexus 3000 和 9000 系列交换机 BGP 拒绝服务漏洞总结 漏洞概述 漏洞名称：Cisco Nexus 3000 和 9000 系列交换机边界网关协议 (BGP) 拒绝服务漏洞 CVE 编号：CVE-2025-20171 CVSS 评分：6.8 (Medium) 漏洞原理：由于对 BGP 属性（transitive BGP attribute）的错误解析，攻击者可以通过向已建立的 BGP 对等体发送特制的 BGP 更新来利用此漏洞。如果更新传播到受影响的设备，可能导致设备丢弃 BGP 会话并产生 BGP 对等体抖动，从而导致拒绝服务 (DoS)。 触发条件：该漏洞与 功能有关，该功能在配置 BGP 时默认启用。 影响范围 受影响产品： Cisco Nexus 3000 系列交换机 Cisco Nexus 9000 系列交换机 前提条件：运行独立 NX-OS 模式且配置了 BGP 路由协议。 非受影响产品：Firepower 系列、MDS 9000 系列、Nexus 5000/6000/7000 系列、UCS 系列、Secure Firewall 系列等（详见页面 "Products Confirmed Not Vulnerable" 列表）。 修复方案 1. 软件升级：升级到 Cisco 提供的修复软件版本。 2. 临时缓解措施 (Workarounds)： 丢弃属性：在发送更新的邻居配置下添加 命令。 移除前缀：在发送更新的邻居配置下添加 命令。 禁用功能：在接收 属性的边缘 (PE) 设备上配置 命令以禁用该功能（注意：这可能会降低安全性机制）。 利用代码/配置示例 页面中提供了用于配置缓解措施和检测漏洞的命令行代码块： 检测 BGP 邻居状态： 配置日志以检测异常： 查看日志以确认漏洞利用（显示 malformed as path error）： 缓解措施配置示例 1（丢弃属性）： 缓解措施配置示例 2（移除前缀）： 缓解措施配置示例 3（禁用 enforce-first-as）：**

目標達成 すべての支援者に感謝 — 100%達成しました！

Cisco Nexus BGP DoS Vulnerability: Transitive Attribute Parsing Flaw (CVE-2025-20171)

目標達成すべての支援者に感謝 — 100%達成しました！