首页 -> 安全研究

安全研究

安全漏洞
Check Point VPN-1/Firewall-1远程syslog数据资源消耗漏洞

发布日期:2003-03-21
更新日期:2003-03-26

受影响系统:
Check Point Software Firewall-1 4.1SP6
Check Point Software Firewall-1 4.1SP5
Check Point Software Firewall-1 4.1SP4
Check Point Software Firewall-1 4.1SP3
Check Point Software Firewall-1 4.1SP2
Check Point Software Firewall-1 4.1SP1
Check Point Software Firewall-1 4.1
Check Point Software Firewall-1 4.0SP8
Check Point Software Firewall-1 4.0SP7
Check Point Software Firewall-1 4.0SP6
Check Point Software Firewall-1 4.0SP5
Check Point Software Firewall-1 4.0SP4
Check Point Software Firewall-1 4.0SP3
Check Point Software Firewall-1 4.0SP2
Check Point Software Firewall-1 4.0SP1
Check Point Software Firewall-1 4.0
Check Point Software Firewall-1 3.0
Check Point Software Next Generation FP3 HF1
Check Point Software Next Generation FP2
Check Point Software Next Generation FP1
Check Point Software Next Generation
Check Point Software VPN-1 4.1SP4
Check Point Software VPN-1 4.1SP3
Check Point Software VPN-1 4.1SP2
Check Point Software VPN-1 4.1SP1
Check Point Software VPN-1 4.1
不受影响系统:
Check Point Software Next Generation FP3 HF2
描述:
BUGTRAQ  ID: 7159

Check Point VPN-1/FW-1 NG FP3包含syslog守护进程(默认为off)来重定向远程(如路由器)进入的syslog消息到Checkpoint的SmartTracker日志机制。

Check Point VPN-1/FW-1当允许远程syslog通信时由于存在性能问题,远程攻击者可以利用这个漏洞使syslog守护进程崩溃,并不会重新启动。

如果用户手工启动syslog守护程序,通过发送随机负载到Check Point VPN-1/FW-1 syslog守护进程,可导致syslog守护进程在短时候后崩溃。并且Watchldog服务和SmartView Tracker都不能发现此守护进程已经崩溃。

<*来源:Dr. Peter Bieringer (pbieringer@aerasec.de
  
  链接:http://www.aerasec.de/security/advisories/txt/checkpoint-fw1-ng-fp3-syslog-crash.txt
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Dr. Peter Bieringer (pbieringer@aerasec.de)提供了如下测试方法:

发送合法数据包如下:

[evilhost]# echo  "<189>19: 00:01:04: Test" | nc -u firewall 514

而下面的随机负载可导致守护进程崩溃:

[evilhost]# cat /dev/urandom | nc -u firewall 514

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 定制规则只接收可信主机的syslog消息。

厂商补丁:

Check Point Software
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到CheckPoint FP3 HF2版本:

http://www.checkpoint.com/techsupport/ng/fp3_hotfix.html

浏览次数:3852
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客