发布日期：2001-08-23
更新日期：2001-08-27

受影响系统：

FreeBSD FreeBSD 4.3-RELEASE
FreeBSD FreeBSD 4.2-RELEASE
FreeBSD FreeBSD 4.1.1-RELEASE

描述：

---

BUGTRAQ ID : 3229

FreeBSD tcp wrappers中存在一个安全问题，使得当'PARANOID' ACL选项打开时一些安全
检查会失效。


'PARANOID' ACL 选项用来使tcp wrapper丢弃那些名字与地址不匹配的主机发来的请求。
然而，在反向DSN解析得到的数字结果进行检查时存在一个安全问题。攻击者可以通过模
仿一台受信主机绕过某种tcp_wrappers PARANOID ACL限制。这可能使得攻击者可以发动
进一步的攻击。

<*来源：FreeBSD-SA-01:56 tcp_wrappers *>


建议：

---

厂商补丁：

FreeBSD已经提供了安全补丁：

1) 对于修正日期前发布的FreeBSD 4.x系统:

请从下列地址下载补丁和分开的PGP签名，并用你的PGP工具核实签名。

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:56/tcp_wrappers.patch
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:56/tcp_wrappers.patch.asc

# cd /usr/src/
# patch -p < /path/to/patch
# cd /usr/src/lib/libwrap
# make depend && make all install

用户还必须重新编写所有没有连接libwrap.a的静态连接的应用程序。

2) FreeBSD 4.3-RELEASE 系统:

FreeBSD还提供了二进制升级版本：

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:56/security-patch-tcp_wrappers-01.56.tgz
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:56/security-patch-tcp_wrappers-01.56.tgz.asc

请用你的PGP工具核实PGP签名。

# pkg_add security-patch-tcp_wrappers-01.56.tgz


浏览次数：6697
严重程度：0（网友投票）