发布日期：2001-08-17
更新日期：2001-08-20

受影响系统：

FreeBSD FreeBSD 4.3-STABLE
FreeBSD FreeBSD 4.3-RELEASE
FreeBSD FreeBSD 4.x

描述：

---

ipfw是一个系统工具，可以实现IP包过滤、重定向、流量记帐等功能。ipfw 'me'规则
指定'me'的源或者目的地址，用来匹配在本地接口商配置的任一IP地址。

ipfw 'me'规则的实现中存在一个漏洞，当'me'规则用在点到点接口时，将导致点到点接口
的远端IP地址也被认为是本地IP地址。

因此，如果一个IP报文的源或者目的IP地址是点到点连接的远端IP地址，那么这个报文在
匹配'me'规则时会被错误处理。例如，存在如下的点到点接口：

  tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
          inet 1.1.1.1 --> 2.2.2.2 netmask 0xff000000

存在下面的ipfw规则：

  00010 allow ip from me to any

尽管管理员试图只允许本地IP对外界的访问，但实际上，源IP地址为2.2.2.2(点对点接口
的远端IP)的报文也会被允许访问任意地址，包括本地主机。这可能导致未授权的访问。

<*来源：Igor M Podlesny (poige@morning.ru)
        FreeBSD-SA-01:53: ipfw `me' on P2P interfaces matches remote address
*>


建议：

---

FreeBSD已经提供了补丁下载.

1. 对于FreeBSD 4.x系统，可以下载源码补丁：

# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:53/ipfw.patch
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:53/ipfw.patch.asc

# cd /usr/src
# patch -p < /path/to/patch
# install -c -m 0444 -o root -g wheel /usr/src/sys/netinet/in_var.h /usr/include/netinet/
# cd /usr/src/sbin/ipfw
# make depend && make all install

2. 对于FreeBSD 4.3-RELEASE用户，可以下载二进制升级程序：

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:53/security-patch-ipfw-01.53.tgz
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:53/security-patch-ipfw-01.53.tgz.asc
# pkg_add security-patch-ipfw-01:53.tgz



浏览次数：6904
严重程度：0（网友投票）