NetScreen可预测TCP初始化序列号漏洞
发布日期:2002-11-25
更新日期:2002-12-02
受影响系统:NetScreen ScreenOS 4.0
NetScreen ScreenOS 3.1.0
NetScreen ScreenOS 3.0.0
NetScreen ScreenOS 2.8
NetScreen ScreenOS 2.6
NetScreen ScreenOS 1.7
不受影响系统:NetScreen ScreenOS 4.0.1
描述:
BUGTRAQ ID:
6249
Netscreen是一款处理防火墙安全解决方案,实现线速数据包处理能力。
ScreenOS生成TCP初始化序列号的算法存在漏洞,远程攻击者可以利用这个漏洞进行典型的IP欺骗攻击,未授权访问系统服务,绕过某些验证安全策略。
ScreenOS生成TCP初始化序列号的算法存在问题可导致序列号可预测,使用可预测的TCP ISN和IP欺骗,可以用来访问TCP应用程序或者未授权访问基于IP地址访问的服务。
此漏洞可以在NetScreen设备本身的TCP连接上利用,也可以利用在需要匹配策略来验证的TCP连接。当NetScreen设备执行SYN proxying代理保护主机时,通过SYN-FLOOD保护的两个主间通信也可能被利用。
这个漏洞不能在基于IPSEC,SSH加密的通信中利用,或者不能对使用对通信修改能够探测的机制进行利用。
<*来源:NetScreen Security Alert
链接:
http://www.netscreen.com/support/alerts/Predictable_TCP_Initial_Sequence_Numbers.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 配置只允许使用对通信修改能够探测的协议(IPSEC,SSH,SSL等)通过防火墙。
* 关闭或者调整syn-flood保护相关参数以降低漏洞危险性。
厂商补丁:
NetScreen
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
NetScreen Upgrade ScreenOS 4.0.1
http://www.netscreen.com/support/updates.asp浏览次数:2829
严重程度:0(网友投票)