SA-05:10.tcpdump

czwartek, 09 czerwca 2005 16:04

FreeBSD-SA-05:10.tcpdump                                 Security Advisory
The FreeBSD Project

Temat: Nieskończone pętle tcpdumpa podczas dekodowania protokołu

Kategoria: contrib
Moduł: tcpdump
Ogłoszono: 2005-06-09
Podziękowania: "Vade 79", Simon L. Nielsen
Podatne wersje: FreeBSD 5.3-RELEASE i FreeBSD 5.4-RELEASE
Poprawiono: 2005-06-08 21:26:27 UTC (RELENG_5, 5.4-STABLE)
2005-06-08 21:27:44 UTC (RELENG_5_4, 5.4-RELEASE-p2)
2005-06-08 21:29:15 UTC (RELENG_5_3, 5.3-RELEASE-p16)
Nazwa CVE: CAN-2005-1267, CAN-2005-1278, CAN-2005-1279, CAN-2005-1280

Dla pogłębienia informacji dotyczącej Ogłoszeń Bezpieczeństwa FreeBSD, włączając opisy pól powyżej, gałęzi bezpieczeństwa oraz poniższych sekcji proszę odwiedzić:
[URL:http://www.freebsd.org/security/]

I. Podstawy

Narzędzie tcpdump używane jest do przechwytywania pakietów z ruchu w sieci.

II. Opis problemu

Większość dekoderów protokołów tcpdump zawierają błędy programistyczne, które mogą spowodować nieskończoną pętle.

III. Wpływ

Atakujący może wstrzyknąć specjalny pakiet do sieci, który w momencie przetworzenia go przez tcpdump'a, spowoduje DoS. Po takim ataku, tcpdump nie bedzie wiecej przechwytywał pakietów i jednakowo może spowodować calkowite zajęcie procesora.

IV. Obejście

Brak.

V. Rozwiązanie

Wykonać jedno z poniższych:

1) Uaktualnić wadliwy system do 4-STABLE lub 5-STABLE, lub do RELENG_5_3, RELENG_4_11, RELENG_4_10 z danej gałęzi bezpieczeństwa wydanej po dacie poprawki.
2) Aby załatać obecny system:
Poniższe poprawki zostały sprawdzone w działaniu z FreeBSD 4.10,4.11 i 5.3.
a) Pobrać odpowiednią łatkę z lokalizacji podanych poniżej. Sprawdzić podpis PGP, narzędziem jakie posiadasz.

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:10/tcpdump.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:10/tcpdump.patch.asc
b) Wykonać będąc zalogowanym jako root:

# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.sbin/tcpdump/tcpdump
# make obj && make depend && make && make install

VI. Szczegóły poprawki
Poniższa lista zawiera numery poszczególnych wersji plików które zostały poprawione.

Gałąź                                                           Wersja
Ścieżka
---------------------------------------------------------------------------
RELENG_5
src/contrib/tcpdump/print-bgp.c 1.1.1.5.2.1
src/contrib/tcpdump/print-isoclns.c 1.12.2.1
src/contrib/tcpdump/print-ldp.c 1.1.1.1.2.1
src/contrib/tcpdump/print-rsvp.c 1.1.1.1.2.1
RELENG_5_4
src/UPDATING 1.342.2.24.2.11
src/sys/conf/newvers.sh 1.62.2.18.2.7
src/contrib/tcpdump/print-bgp.c 1.1.1.5.6.1
src/contrib/tcpdump/print-isoclns.c 1.12.6.1
src/contrib/tcpdump/print-ldp.c 1.1.1.1.6.1
src/contrib/tcpdump/print-rsvp.c 1.1.1.1.6.1
RELENG_5_3
src/UPDATING 1.342.2.13.2.19
src/sys/conf/newvers.sh 1.62.2.15.2.21
src/contrib/tcpdump/print-bgp.c 1.1.1.5.4.1
src/contrib/tcpdump/print-isoclns.c 1.12.4.1
src/contrib/tcpdump/print-ldp.c 1.1.1.1.4.1
src/contrib/tcpdump/print-rsvp.c 1.1.1.1.4.1
---------------------------------------------------------------------------

VII. Odnośniki
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1267
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1278
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1279
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1280
http://marc.theaimsgroup.com/?l=bugtraq&m=111454406222040
http://marc.theaimsgroup.com/?l=bugtraq&m=111454461300644

Najnowsza wersja jest dostępna pod adresem:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:10.tcpdump.asc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (FreeBSD)
iD8DBQFCqBbUFdaIBMps37IRAlxdAJ9AsT7o5k1woMpE3DlC+HBebZlLKACfYFjD
0VOBWDzUFdR8IErJEYU2+9w=
=1cKJ
-----END PGP SIGNATURE-----