发布日期：2002-06-14
更新日期：2006-01-17

受影响系统：

Debian Linux 2.2 sparc
Debian Linux 2.2 powerpc
Debian Linux 2.2 IA-32
Debian Linux 2.2 arm
Debian Linux 2.2 alpha
Debian Linux 2.2 68k
MandrakeSoft Linux Mandrake 8.2
MandrakeSoft Linux Mandrake 8.1 ia64
MandrakeSoft Linux Mandrake 8.1
MandrakeSoft Linux Mandrake 8.0 ppc
MandrakeSoft Linux Mandrake 8.0

描述：

---

BUGTRAQ  ID: 5020
CVE(CAN) ID: CVE-2002-2185

IGMP-Internet Group Management Protocol是多播技术的一部分，用于主机和支持多播功能的路由器之间的组管理，其中包含使用报告抑制机制防止冗余IGMP成员报告发送给查询路由器。

IGMP在处理组成员报告抑制机制上存在问题，远程攻击者可以利用这个漏洞对连接在多播组上的主机进行拒绝服务攻击。

在下面的环境中，主机H1和H2使用HUB连接路由器，主机H1是230.0.0.1多播组的成员并从指定路由器R上接收通信，R定期发送IGMP组成员查询信息到主机网络中，主机H1需要响应IGMP组成员查询信息其属于这一组，现在H2进行攻击，H2从R中嗅探到网络中的组成员查询信息，然后H2单播组成员报告给H1，H1接收到信息后推断网络中其他主机也要接收此通信就抑制了自己的报告，这样导致路由器R一直没有接收到230.0.0.1组中的任何组成员报告，阻塞相关流向此子网的所有多播通信，使网络中主机接收不到任何信息。

<*来源：Krishna N. Ramachandran （krishna@cs.ucsb.edu）
  
  链接：http://www.cs.ucsb.edu/~krishna/igmp_dos/
        http://lwn.net/Alerts/168077/?format=printable
        ftp://patches.sgi.com/support/free/security/advisories/20020901-01-A
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 主机接收到IGMP包时需要检查MAC地址，如果不是多播以太地址如以01:00:5E为前缀的地址，主机需要丢弃此包。

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2006:0101-01）以及相应补丁:
RHSA-2006:0101-01：Important: kernel security update
链接：http://lwn.net/Alerts/168077/?format=printable

SGI
---
SGI已经为此发布了一个安全公告（20020901-01-A）以及相应补丁:
20020901-01-A：IGMP multicast report Denial of Service vulnerability
链接：ftp://patches.sgi.com/support/free/security/advisories/20020901-01-A

浏览次数：3544
严重程度：0（网友投票）