首页 -> 安全研究
安全研究
安全漏洞
ISS BlackICE和RealSecure远程拒绝服务漏洞
发布日期:2002-02-04
更新日期:2002-02-07
受影响系统:
ISS BlackIce Agent 3.0描述:
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ISS BlackIce Agent 3.1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ISS BlackIce Defender 2.9cap
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ISS BlackIce Defender 2.9caq
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ISS RealSecure Server Sensor 6.0.1 Win
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ISS RealSecure Server Sensor 6.5 Win
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
BUGTRAQ ID: 4025
CVE(CAN) ID: CVE-2002-0237
Internet Security Systems的BlackICE Defender、BlackICE Agent和RealSecure Server Sensor是运行在Microsoft Windows环境下的网络入侵检测系统。
远程攻击者可以用ping flood攻击,使这些这些产品产生拒绝服务。
连续发送10000个字节的ICMP Echo Request (Ping)包到目标主机,会引起主机重启。
只有Windows 2000和XP的主机会受到这个漏洞的影响。
<*来源:Matt Taylor (quisit@quest.net)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-02/0010.html
http://archives.neohapsis.com/archives/bugtraq/2002-02/0011.html
http://archives.neohapsis.com/archives/bugtraq/2002-01/0423.html
http://archives.neohapsis.com/archives/bugtraq/2002-01/0431.html
http://archives.neohapsis.com/archives/bugtraq/2002-01/0441.html
http://archives.neohapsis.com/archives/bugtraq/2002-01/0445.html
http://www.iss.net/security_center/alerts/advise109.php
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
BlackICE Agent:
添加以下的规则到ICEcap Manager,以阻止ICMP Echo Requests到所有的管理控制端:
1、选择防火墙规则进行修改。
2、点击防火墙规则右边的"Add Setting"。
3、改变ICMP的类型。
4、在规则详述窗口输入"8:0"。
5、确定在设定窗口选择了拒绝。
6、点击"Save Settings"。
这样就添加了规则到ICEcap的策略来阻止控制端报告所有的Echo Requests。
BlackICE Defender:
添加以下的规则来阻止ICMP Echo Requests。
1、打开firewall.ini文件。
2、在[MANUAL ICMP ACCEPT]下面添加以下一行:
REJECT, 8:0, ICMP, 2001-10-15 20:28:53, PERPETUAL, 4000, BIGUI
3、保存firewall.ini文件。
4、下一次打开BlackICE的时候,当弹出窗口"A configuration file change was detected." 时点击OK。
RealSecure Server Sensor:
Internet Security Systems RealSecure Server Sensor的用户可以用以下的步骤来阻止ICMP包。X-Force推荐管理员在使用这些规则之前先研究一下在他们的环境下阻止ICMP会发生什么情况。
1、打开你要添加规则的Server Sensor policy。
2、选择Protect tab,打开Protect folder,并且打开Firecell folder。
3、选择ICMP Inbound区。
4、点击Add来建立新规则。
5、输入firecell规则的名字,比如Block_ICMP,然后点击OK。一个新规则就添加到ICMP Inbound区的策略里了。
6、选择你刚建立的规则的属性。
7、在事件的Priority框设置优先级。
8、让IP地址栏空着。
9、在Actions区,选择Action的第3列"Not in the range of listed IP addresses, drop the packet and generate the selected responses"。
10、在Response区,选择当规则触发时探测器的反应。
11、保存探测器的策略。
浏览次数:4345
严重程度:0(网友投票)
绿盟科技给您安全的保障