FreeBSD - Inside - SA-06:04.ipfw

Home

SA-06:04.ipfw

Menu witryny

Poleć FreeBSD - Inside

Na szybko

Handbook [EN]

Licencja BSD [EN]

Licencja BSD [PL]

Bezpieczeństwo
SA-06:16:smbfs SA-06:15.ypserv SA-06:14.fpu SA-06:13.sendmail SA-06:08.sack

Gościmy
Odwiedza nas 1 gość

Kolporter RSS

SA-06:04.ipfw

Wpisał: crash

11.01.2006.

FreeBSD-SA-06:02.ipfw                                Security Advisory
                                                 The FreeBSD Project
  Temat:          Fragmentaryzacja IP ipfw DoS
  
  Kategoria:      core
  Moduł:           ipfw
  Ogłoszono:      2006-01-11
  Podziękowania:  Oleg Bulyzhin
  Podatne wersje: Wszystkie wersje
  Poprawiono:           2006-01-11 08:02:16 UTC (RELENG_6, 6.0-STABLE)
                2006-01-11 08:03:18 UTC (RELENG_6_0, 6.0-RELEASE-p2)
  Nazwa CVE:      CVE-2006-0054

Dla pogłębienia informacji dotyczącej Ogłoszeń Bezpieczeństwa FreeBSD, włączając opisy pól powyżej, gałęzi bezpieczeństwa oraz poniższych sekcji proszę odwiedzić:
[URL:http://www.freebsd.org/security/]

I.    Podstawy
ipfw(8) jest systemem który ułatwia filtrowanie pakietów, analizę i przekierowania. Pomiędzy licznymi właściwościami takimi jak odrzucanie pakietów może wykonywać akcje zdefiniowane przez użytkownika, wysyłanie powrotnych pakietów reset TCP lub pakietów unreach ICMP. Operacje te mogą byc wykonane poprzez akcje reset, reject lub unreach.

II.    Opis problemu
Firewall utrzymuje wskaźnik na nagłówkach z warstwy 4 nawet jeżeli jest konieczność wysłania pakietu reset TCP lub pakiet z wiadomością błędu ICMP aby odrzucic pakiet. Z powodu niepoprawnej obslugi fragmentów IP, wskaźnik ten nie zostanie zainicjowany.

III.    Wpływ
Atakujący może spowodować rozbicia firewall'a poprzez wysyłanie fragmentów ICMP IP lub przez regółkę firewall'a która pasuje do jakiej kolwiek z akcji: reset, reject lub unreach.

IV.    Obejście
Należy zmienić jakie kolwiek akcje reset, reject lub unreach na deny.

V.    Rozwiązanie
Wykonać jedno z poniższych:
1) Uaktualnić wadliwy system do 6-STABLE lub do RELENG_6_0 z danej gałęzi bezpieczeństwa wydanej po dacie poprawki.
2) Aby załatać obecny system:
Poniższe poprawki zostały sprawdzone w działaniu z FreeBSD 6.0.
a) Pobrać odpowiednią łatkę z lokalizacji podanych poniżej. Sprawdzić podpis PGP, narzędziem jakie posiadasz.

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:04/ipfw.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:04/ipfw.patch.asc

b) Wykonać będąc zalogowanym jako root:

# cd /usr/src
# patch < /path/to/patch

c) Przebudować cały system jak opisano w dokumentacji na stronie: <URL:http://www.freebsd.org/doc/handbook/makeworld.html>

VI. Szczegóły poprawki

Poniższa lista zawiera numery poszczególnych wersji plików które zostały poprawione.

Gałąź
     Ścieżka                Przegląd

- -------------------------------------------------------------------------
RELENG_6
  src/sys/netinet/ip_fw2.c                                      1.106.2.6
RELENG_6_0
  src/UPDATING                                              1.416.2.3.2.7
  src/sys/conf/newvers.sh                                    1.69.2.8.2.3
  src/sys/netinet/ip_fw2.c                                  1.106.2.3.2.1
- -------------------------------------------------------------------------

VII. Odnośniki
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2006-0054

Najnowsza wersja jest dostępna pod adresem:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:04.ipfw.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (FreeBSD)

iD8DBQFDxL4vFdaIBMps37IRAmrZAJ4qRzdR0zR0u9ZY5RTTsMF5ZcGBUACfa5Gn
9kbuhOTex8BBlNFRHYCd9e4=
=WcS+
-----END PGP SIGNATURE-----