发布日期：2003-01-06
更新日期：2003-01-14

受影响系统：

Darren Reed IPFilter 3.4.30
Darren Reed IPFilter 3.4.29
    - FreeBSD 4.7-RELEASE
    - FreeBSD 4.7
    - NetBSD 1.6
    - NetBSD 1.5.3
    - NetBSD 1.5.2
    - NetBSD 1.5.1
    - NetBSD 1.5

描述：

---

BUGTRAQ  ID: 6534

IPFilter是一款免费的开放源代码的防火墙程序，由Darren Reed编写，可使用在多种Unix和Linux操作系统平台下。

当IPFilter在处理带有错误校验和的TCP/ACK包(没有前一个SYN包进行初始化会话)时存在问题，远程攻击者可以利用这个漏洞填满状态表而使防火墙停止响应。

在ipfilter在状态实现中，对于收到的带有ACK标志的TCP数据包(没带前一个SYN标志)如果来源IP是允许的，那么它总是会认为该连结处于TCPS_ESTABLISHED状态，而系统应用程序发送RST包后，就会更改状态表中的TTL值为1，计时结束，这个Session就从状态表中丢弃；但是如果攻击者发送的带ACK标志的包附带错误的校验码，应用程序由于没有提示进行丢弃，Ipfilter会在establish状态中设置等待TTL长达120小时，多个类似的包提交给Ipfilter处理，可导致填满状态表而使防火墙停止响应。

<*来源：Yiming Gong （yiming@security.zz.ha.cn）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104187936220645&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Yiming Gong （yiming@security.zz.ha.cn）提供了如下测试方法：

[yiming@security.zz.ha.cn]# hping -s ip.of.spoofedandtrusted.box -A
ip.of.target.box  -p 22 -c 1 -b

you will immediately see a a long wait ttl of 120 hours, like this

security.zz.ha.cn,1235  server,22     4/0  tcp       1        40
119:59:48

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 此问题发生在使用"keep state"而不采用 "flags S"的规则。因此供应商建议IPFilter用户配置此选项。

厂商补丁：

Darren Reed
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://coombs.anu.edu.au/~avalon/ip-filter.html

浏览次数：6119
严重程度：0（网友投票）