首页 -> 安全研究
安全研究
安全漏洞
Sun Solaris网络接口拒绝服务攻击漏洞
发布日期:2002-11-09
更新日期:2002-11-14
受影响系统:
Sun Solaris 9.0描述:
Sun Solaris 8.0_x86
Sun Solaris 8.0
BUGTRAQ ID: 6147
CVE(CAN) ID: CVE-2002-1585
Solaris是一款由Sun Microsystems公司开发和维护的商业性质Unix操作系统。
Solaris存在未明漏洞,远程攻击者可以利用这个漏洞导致部分网络接口停止对正常TCP通信的响应。
目前没有获得具体漏洞细节。
问题可能是部分本地接口的路由信息已经从系统的路由表中移除:
在正常工作系统中:
$ netstat -rvan | grep UHL
会显示系统中每个网络接口(物理和逻辑的)的相关条目,每个接口的IP会显示在第一栏中而接口名会出现在第三栏中。
并且:
$ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
会显示环回接口"lo0"(IP地址127.0.0.1)的条目。
在受此漏洞影响后的系统,下面的命令列出的输出将与正常网络的输出不同:
$ netstat -rvan | grep UHL
会不显示网络接口(物理和逻辑的)的相关条目。或者:
$ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
将没有输出。
示例如下:
下面是系统接口的输出:
$ ifconfig -a
lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 192.29.69.2 netmask ffffff00 broadcast 192.29.69.255
qfe0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 192.29.79.2 netmask ffffff00 broadcast 192.29.79.255
qfe0:1: flags=9040843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 192.29.89.25 netmask ffffff00 broadcast 192.29.89.255
qfe1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4
inet 192.29.99.3 netmask ffffff00 broadcast 192.29.99.255
qfe2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 5
inet 192.29.59.4 netmask ffffff00 broadcast 192.29.59.255
在正常工作系统中:
$ netstat -rvan | grep UHL
192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 130
192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 60
192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 121
192.29.99.3 255.255.255.255 -- qfe1 8232* 247 173 UHL 4787 34168
192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL 0 75
显示了每个网络接口("hme0", "qfe0", "qfe1", "qfe2" and "qfe0:1")的相关条目。并且:
$ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
127.0.0.1 255.255.255.255 127.0.0.1 lo0 8232* 0 2 UH
环回接口"lo0" (127.0.0.1)也显示相关条目,意味着告诉我们"lo0"没有受此漏洞影响。
而在受此漏洞影响的系统中,执行如下命令将显示如下输出:
$ netstat -rvan | grep UHL
192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 209
192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 131
192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 181
192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL
这里"qfe1"接口就没有显示。
如果环回接口"lo0" (127.0.0.1)受此漏洞影响:
$ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
上面的命令将没有任何输出。
<*来源:Sun Alert Notification
链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48601
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 出现如上问题,可以通过把受此漏洞影响的接口关闭和开启来恢复。
* 使用ndd(1m)工具调整"ip_ire_arp_interval"参数为1分钟来暂时解决这个问题:
# ndd -set /dev/ip ip_ire_arp_interval 60000
设置ndd "ip_ire_arp_interval"参数可以减少此问题发生机会,但也对网络性能造成负面影响。
厂商补丁:
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-48601)以及相应补丁:
Sun-Alert-48601:Solaris 8 and Solaris 9 Network Interface may Stop Responding to TCP Traffic
链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48601
补丁下载:
Sun Solaris 8.0 _x86:
Sun Patch T-patch T113653-01
http://sunsolve.sun.com/tpatches
For use with patch 108529-17.
Sun Solaris 8.0:
Sun Patch T-patch T113652-01
http://sunsolve.sun.com/tpatches
For use with patch 108528-17.
Sun Solaris 9.0:
Sun Patch T-patch T112902-07
http://sunsolve.sun.com/tpatches
浏览次数:2915
严重程度:0(网友投票)
绿盟科技给您安全的保障