返回首页

Cisco IOS XE 错误:日志填满接入点的内存

在 Cisco IOS XE 固件中发现了一个错误,导致接入点每天生成 5 MB 日志,填满闪存。这导致软件无法更新并有循环重启风险。提供了诊断和消除步骤。

Cisco 接入点因日志而失败
Advertisement 728x90

# Cisco IOS XE 固件漏洞导致 Wi-Fi 接入点闪存填满

在 Cisco IOS XE 固件中,发现了一个严重漏洞,它会导致 Wi-Fi 接入点每天生成多达 5 MB 无用日志。该问题影响超过 230 款设备型号,并可能因内置闪存空间不足而导致软件更新完全失败。

问题:cnssdaemon.log 文件不受控制增长

该错误出现在 Cisco IOS XE 版本 17.12.4、17.12.5、17.12.6 和 17.12.6a。在这些版本中,系统库之一错误处理了 cnssdaemon.log 文件——这是与无线电模块管理守护进程相关的日志文件。每天,其大小都会增加约 5 MB,无论设备活动水平或日志配置如何。

事件的一个关键特征是通过 CLI(命令行)无法删除该文件。即使运行 delete flash:cnssdaemon.log 命令,系统要么忽略该请求,要么在下次重启时恢复文件。这使得标准内存清理方法完全失效。

Google AdInline article slot

对设备运行的影响

随着闪存逐渐填满,设备将丧失接收新固件镜像或更新包的能力。最坏情况下,这会导致启动循环,即接入点因临时文件缺少可用空间而无法完成启动。

Cisco 强调:设备在易受攻击版本上运行时间越长,完全失效的风险越高,且需要物理干预才能修复。部署在难以触及位置(如工业现场或分散办公室)的独立接入点尤其脆弱。

管理员推荐操作步骤

厂商建议采取以下步骤:

Google AdInline article slot
  • 检查所有 Cisco 接入点的软件版本,使用命令:

```

show version | include IOS XE

```

Google AdInline article slot
  • 评估闪存中的可用空间

```

dir flash:

```

  • 如果可用空间少于 50 MB,立即规划更新至修复版本(17.12.7 或更高)。
  • 如果内存已满且无法更新,则需通过 ROMMON 进行恢复——这是一种需要物理访问设备的低级启动模式。

与网络设备生态系统中其他事件比较

该问题类似于 2025 年 ASUS 路由器事件,当时 AiCloud 中的漏洞允许绕过身份验证。然而,当前情况本质不同:这里没有外部利用,而是运行数周或数月后显现的隐蔽退化效应。

这类“静默”漏洞特别危险,因为它们不会立即引发故障,往往在关键时刻才被注意到。这凸显了即使在稳定运行的设备上,也需定期监控存储空间的重要性。

要点

  • 该漏洞仅影响特定 Cisco IOS XE 版本(17.12.4–17.12.6a)。
  • cnssdaemon.log 文件无法使用标准 CLI 方法删除。
  • 闪存满载时,软件更新需通过 ROMMON 恢复才能进行。
  • 对于未经持续监控的部署设备,风险尤其高。
  • 修复版本从 17.12.7 开始提供。

建议管理员勿拖延更新,并将闪存使用情况监控纳入基础设施监控系统,作为自动化部分。

— Editorial Team

Advertisement 728x90

继续阅读