发布日期：2002-02-04
更新日期：2002-02-07

受影响系统：

ISS BlackIce Agent 3.0
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000
ISS BlackIce Agent 3.1
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000
ISS BlackIce Defender 2.9cap
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000
ISS BlackIce Defender 2.9caq
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000
ISS RealSecure Server Sensor 6.0.1 Win
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000
ISS RealSecure Server Sensor 6.5 Win
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 4025
CVE(CAN) ID: CVE-2002-0237

Internet Security Systems的BlackICE Defender、BlackICE Agent和RealSecure Server Sensor是运行在Microsoft Windows环境下的网络入侵检测系统。

远程攻击者可以用ping flood攻击，使这些这些产品产生拒绝服务。

连续发送10000个字节的ICMP Echo Request (Ping)包到目标主机，会引起主机重启。

只有Windows 2000和XP的主机会受到这个漏洞的影响。

<*来源：Matt Taylor （quisit@quest.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0010.html
        http://archives.neohapsis.com/archives/bugtraq/2002-02/0011.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0423.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0431.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0441.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0445.html
        http://www.iss.net/security_center/alerts/advise109.php
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

BlackICE Agent：

添加以下的规则到ICEcap Manager，以阻止ICMP Echo Requests到所有的管理控制端：

1、选择防火墙规则进行修改。
2、点击防火墙规则右边的"Add Setting"。
3、改变ICMP的类型。
4、在规则详述窗口输入"8:0"。
5、确定在设定窗口选择了拒绝。
6、点击"Save Settings"。

这样就添加了规则到ICEcap的策略来阻止控制端报告所有的Echo Requests。

BlackICE Defender：

添加以下的规则来阻止ICMP Echo Requests。

1、打开firewall.ini文件。
2、在[MANUAL ICMP ACCEPT]下面添加以下一行：
   REJECT, 8:0, ICMP, 2001-10-15 20:28:53, PERPETUAL, 4000, BIGUI
3、保存firewall.ini文件。
4、下一次打开BlackICE的时候，当弹出窗口"A configuration file change was detected." 时点击OK。

RealSecure Server Sensor：

Internet Security Systems RealSecure Server Sensor的用户可以用以下的步骤来阻止ICMP包。X-Force推荐管理员在使用这些规则之前先研究一下在他们的环境下阻止ICMP会发生什么情况。

1、打开你要添加规则的Server Sensor policy。
2、选择Protect tab，打开Protect folder，并且打开Firecell folder。
3、选择ICMP Inbound区。
4、点击Add来建立新规则。
5、输入firecell规则的名字，比如Block_ICMP，然后点击OK。一个新规则就添加到ICMP Inbound区的策略里了。
6、选择你刚建立的规则的属性。
7、在事件的Priority框设置优先级。
8、让IP地址栏空着。
9、在Actions区，选择Action的第3列"Not in the range of listed IP addresses, drop the packet and generate the selected responses"。
10、在Response区，选择当规则触发时探测器的反应。
11、保存探测器的策略。

浏览次数：4345
严重程度：0（网友投票）