发布日期：2002-05-12
更新日期：2002-05-14

受影响系统：

Linux Netfilter
    - Linux系统 kernel 2.4.9
    - Linux系统 kernel 2.4.8
    - Linux系统 kernel 2.4.7
    - Linux系统 kernel 2.4.6
    - Linux系统 kernel 2.4.5
    - Linux系统 kernel 2.4.4
    - Linux系统 kernel 2.4.19 -pre6
    - Linux系统 kernel 2.4.19 -pre5
    - Linux系统 kernel 2.4.19 -pre4
    - Linux系统 kernel 2.4.19 -pre3
    - Linux系统 kernel 2.4.19 -pre2
    - Linux系统 kernel 2.4.19 -pre1
    - Linux系统 kernel 2.4.19
    - Linux系统 kernel 2.4.18
    - Linux系统 kernel 2.4.17
    - Linux系统 kernel 2.4.16
    - Linux系统 kernel 2.4.15
    - Linux系统 kernel 2.4.14
    - Linux系统 kernel 2.4.13
    - Linux系统 kernel 2.4.12
    - Linux系统 kernel 2.4.11
    - Linux系统 kernel 2.4.10

描述：

---

BUGTRAQ  ID: 4699
CVE(CAN) ID: CVE-2002-0704

Linux内核是Linux操作系统的核心部分，其中Netfilter是Linux内核的一个通用防火墙架构的实现。

Netfilter的NAT功能实现存在漏洞，可导致远程攻击者获得被NAT（地址或端口转换）后主机的端口信息。

攻击者可以小TTL值的TCP包给远程防火墙的特定端口，当此包路由到达防火墙并经过其NAT转换以后最终到达接收此包的主机时，主机会产生ICMP TTL过期的应答，ICMP包中的端口信息将不被NAT系统转换过后就直接回传，即应答的ICMP包回包含实际主机的端口信息。这可能导致远程攻击者收集到防火墙后目标主机端口开放情况的信息。

<*来源：Philippe Biondi （biondi@cartel-securite.fr）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0049.html
        https://www.redhat.com/support/errata/RHSA-2002-086.html
        http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-030.php
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在防火墙上禁止ICMP流量。

厂商补丁：

Linux
-----
目前Netfilter项目组已经发布了一个补丁以修复这个安全问题，请到厂商的主页下载：

Netfilter Patch 2002-04-02-icmp-dnat.html
http://www.netfilter.org/security/2002-04-02-icmp-dnat.html

MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告（MDKSA-2002:030）:
MDKSA-2002:030：temporary fix for netfilter information leak
链接：http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-030.php3

暂时还没有补丁下载，建议增加一条如下的iptables规则：
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

使系统不受此漏洞的影响。
Updated Packages:

None currently available.

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：
http://www.mandrakesecure.net/en/ftp.php

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2002:086-05）:
RHSA-2002:086-05：Netfilter information leak
链接：https://www.redhat.com/support/errata/RHSA-2002-086.html

RedHat还没有开发出一个好的补丁，建议增加如下的一条iptables规则:
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

可以暂时不受此漏洞的影响。

浏览次数：3152
严重程度：0（网友投票）