SA-06:04.ipfw
środa, 11 stycznia 2006 21:50
FreeBSD-SA-06:02.ipfw Security Advisory
The FreeBSD Project
Temat: Fragmentaryzacja IP ipfw DoS
Kategoria: core
Moduł: ipfw
Ogłoszono: 2006-01-11
Podziękowania: Oleg Bulyzhin
Podatne wersje: Wszystkie wersje
Poprawiono: 2006-01-11 08:02:16 UTC (RELENG_6, 6.0-STABLE)
2006-01-11 08:03:18 UTC (RELENG_6_0, 6.0-RELEASE-p2)
Nazwa CVE: CVE-2006-0054
Dla pogłębienia informacji dotyczącej Ogłoszeń Bezpieczeństwa FreeBSD, włączając opisy pól powyżej, gałęzi bezpieczeństwa oraz poniższych sekcji proszę odwiedzić:
[URL:http://www.freebsd.org/security/]
I. Podstawy
ipfw(8) jest systemem który ułatwia filtrowanie pakietów, analizę i przekierowania. Pomiędzy licznymi właściwościami takimi jak odrzucanie pakietów może wykonywać akcje zdefiniowane przez użytkownika, wysyłanie powrotnych pakietów reset TCP lub pakietów unreach ICMP. Operacje te mogą byc wykonane poprzez akcje reset, reject lub unreach.
II. Opis problemu
Firewall utrzymuje wskaźnik na nagłówkach z warstwy 4 nawet jeżeli jest konieczność wysłania pakietu reset TCP lub pakiet z wiadomością błędu ICMP aby odrzucic pakiet. Z powodu niepoprawnej obslugi fragmentów IP, wskaźnik ten nie zostanie zainicjowany.
III. Wpływ
Atakujący może spowodować rozbicia firewall'a poprzez wysyłanie fragmentów ICMP IP lub przez regółkę firewall'a która pasuje do jakiej kolwiek z akcji: reset, reject lub unreach.
IV. Obejście
Należy zmienić jakie kolwiek akcje reset, reject lub unreach na deny.
V. Rozwiązanie
Wykonać jedno z poniższych:
1) Uaktualnić wadliwy system do 6-STABLE lub do RELENG_6_0 z danej gałęzi bezpieczeństwa wydanej po dacie poprawki.
2) Aby załatać obecny system:
Poniższe poprawki zostały sprawdzone w działaniu z FreeBSD 6.0.
a) Pobrać odpowiednią łatkę z lokalizacji podanych poniżej. Sprawdzić podpis PGP, narzędziem jakie posiadasz.
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:04/ipfw.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:04/ipfw.patch.asc
b) Wykonać będąc zalogowanym jako root:
# cd /usr/src
# patch < /path/to/patch
c) Przebudować cały system jak opisano w dokumentacji na stronie: <URL:http://www.freebsd.org/doc/handbook/makeworld.html>
VI. Szczegóły poprawki
Poniższa lista zawiera numery poszczególnych wersji plików które zostały poprawione.
Gałąź
Ścieżka Przegląd
- -------------------------------------------------------------------------
RELENG_6
src/sys/netinet/ip_fw2.c 1.106.2.6
RELENG_6_0
src/UPDATING 1.416.2.3.2.7
src/sys/conf/newvers.sh 1.69.2.8.2.3
src/sys/netinet/ip_fw2.c 1.106.2.3.2.1
- -------------------------------------------------------------------------
VII. Odnośniki
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2006-0054
Najnowsza wersja jest dostępna pod adresem:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:04.ipfw.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (FreeBSD)
iD8DBQFDxL4vFdaIBMps37IRAmrZAJ4qRzdR0zR0u9ZY5RTTsMF5ZcGBUACfa5Gn
9kbuhOTex8BBlNFRHYCd9e4=
=WcS+
-----END PGP SIGNATURE-----