安全研究
安全漏洞
NetScreen非IP通信绕过防火墙漏洞
发布日期:2003-07-14
更新日期:2003-07-17
受影响系统:
NetScreen ScreenOS 4.0.3描述:
NetScreen ScreenOS 4.0.2
NetScreen ScreenOS 4.0.1
NetScreen ScreenOS 4.0-DIAL
NetScreen ScreenOS 4.0
NetScreen ScreenOS 3.1.1r2
NetScreen ScreenOS 3.1.0r9
NetScreen ScreenOS 3.1.0r2
NetScreen ScreenOS 3.1.0r1
NetScreen ScreenOS 3.1.0
NetScreen ScreenOS 3.0.3r1.1
NetScreen ScreenOS 3.0.3
NetScreen ScreenOS 3.0.2
NetScreen ScreenOS 3.0.1r2
NetScreen ScreenOS 3.0.1r1
NetScreen ScreenOS 3.0.1
NetScreen ScreenOS 3.0.0r4
NetScreen ScreenOS 3.0.0r3
NetScreen ScreenOS 3.0.0r2
NetScreen ScreenOS 3.0.0r1
NetScreen ScreenOS 3.0.0
NetScreen ScreenOS 2.8.0r1
NetScreen ScreenOS 2.8
NetScreen ScreenOS 2.7.1r3
NetScreen ScreenOS 2.7.1r2
NetScreen ScreenOS 2.7.1r1
NetScreen ScreenOS 2.7.1
NetScreen ScreenOS 2.6.1r5
NetScreen ScreenOS 2.6.1r4
NetScreen ScreenOS 2.6.1r3
NetScreen ScreenOS 2.6.1r2
NetScreen ScreenOS 2.6.1r1
NetScreen ScreenOS 2.6.1
NetScreen ScreenOS 2.6
NetScreen ScreenOS 2.5r6
NetScreen ScreenOS 2.5r2
NetScreen ScreenOS 2.5r1
NetScreen ScreenOS 2.5
NetScreen ScreenOS 2.10r4
NetScreen ScreenOS 2.10r3
NetScreen ScreenOS 2.1
NetScreen ScreenOS 2.0.1r8
NetScreen ScreenOS 1.7
NetScreen ScreenOS 1.66r2
NetScreen ScreenOS 1.66
NetScreen ScreenOS 1.64
BUGTRAQ ID: 8150
Netscreen是一款防火墙安全解决方案,其操作系统为ScreenOS。
Netscreen防火墙不正确处理非IP或ARP通信,远程攻击者可以利用这个漏洞发送部分通信绕过防火墙限制,并且没有记录。
在通明模式中,除非管理员定义了安全策略一般不会转发任何通信。一旦定义了一个安全策略,设备允许包含非IPV4帧的第2层广播和多播通过,这主要为了各个NetScreen设备彼此间能相互"学习"。
2层包含非IPV4帧的广播和多播允许通过NetScreen设备进行服务通告,SpanTree声明,传递不可路由LAN通信等。默认情况下,只有IPV4单播可以通过设备,然后依照规则通过。根据管理员选项,设备配置成允许非IPV4单播通过设备转发,这个是全局设置和影响所有安全区域和VSYS。
对非IP单播,多播,广播没有任何检测或策略应用。邻近的透明模式防火墙的恶意用户可以传送包含非IPV4帧的2层多播或广播,影响防火墙另一端的主机。不管NetScreen设备设置了"set | unset firewall bypass-non-ip"这些通信也会通过防火墙。如可以注入任意NetWare SAP到IPX主机,或注入PBDU迫使MAC层交换机重平衡SpanTree等。
此外,如果NetScreen设备上执行了"unset firewall bypass-non-ip"命令,离非IPV4路由器1跳或更多的恶意用户可能使用非IPV4单播通信影响防火墙另一端的主机。
只有NetScreen设备放置在允许非IPV4通信的网络中才有以上的漏洞威胁,并且NetScreen设备需要运行在透明模式下。
<*来源:new InquisiTeam (inquisiteam@operamail.com>)
链接:http://www.netscreen.com/services/security/alerts/advisory-57605.txt
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 检查网络拓扑是否必须NetScreen设备使用非IPV4单播,不需要就关闭。如果需要,只允许路由器直接连接NetScreen设备,或你必须通过L2交换机连接末端系统,确保路由器针对非IPV4广播和多播有使用正确的访问控制和过滤。
厂商补丁:
NetScreen
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载7月14号之后的ScreenOS 4.0.1 release r9 和4.0.3 release r3 版本:
http://www.netscreen.com/services/download_soft
http://www.netscreen.com/support/updates.html
浏览次数:2685
严重程度:0(网友投票)
绿盟科技给您安全的保障