发布日期：2004-02-09
更新日期：2004-02-17

受影响系统：

Check Point Software Firewall-1 4.1SP5
Check Point Software Firewall-1 4.1SP4
Check Point Software Firewall-1 4.1SP3
Check Point Software Firewall-1 4.1SP2
Check Point Software Firewall-1 4.1SP1
Check Point Software Firewall-1 4.1
Check Point Software VPN-1 4.1SP5a
Check Point Software FireWall-1 Next Generation FP1
Check Point Software FireWall-1 Next Generation FP0
Check Point Software VPN-1 Next Generation FP1
Check Point Software VPN-1 Next Generation FP0

不受影响系统：

Check Point Software Firewall-1 4.1SP6
Check Point Software VPN-1 4.1SP6
Check Point Software FireWall-1 Next Generation FP2
Check Point Software VPN-1 Next Generation FP2

描述：

---

BUGTRAQ  ID: 9582
CVE(CAN) ID: CVE-2004-0040

Check Point Firewall-1是一款高性能防火墙，Checkpoint VPN-1服务端和Checkpoint VPN客户端为远程客户计算机提供VPN访问的产品。这些产品的IKE组件允许不定向或双向的两个远程接点的验证。

Checkpoint VPN-1服务端和Checkpoint VPN客户端在处理超大证书负载时缺少充分检查，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以系统权限控制防火墙服务器。

Internet Key Exchange (IKE)用于加密传输或通过VPN通信时进行密钥协商和交换。其中ISAKMP协议用于这个交换。当多种产品如VPN实现在处理包含超大证书请求负载的ISAKMP包时缺少充分边界检查，远程未验证用户在IKE协商初始阶段触发此漏洞。攻击者要利用此漏洞不需要对目标系统进行交互，只要通过发送伪造源地址的UDP包来进行攻击。成功利用此漏洞可以直接控制整个防火墙系统。

<*来源：Mark Dowd
        Neel Mehta
  
  链接：http://xforce.iss.net/xforce/alerts/id/163
        http://www.checkpoint.com/techsupport/alerts/41_isakmp.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果用户没有使用VPN，可以通过通过不选Policy->Properties菜单下的"Accept VPN-1 & Firewall-1 Control Connections"复选框关闭，不过必须记得在使用如FW1_mgmt，Radius, Tacacs, Ldap等协议后会重新起用VPN。

* 如果使用FWZ VPN，可根据上面的方法关闭，但必须记得允许连接FW1_topo和FW1_key及RDP协议。

* 如果使用了IKE VPN，你必须过滤IKE端口，只允许部分受信地址连接。不过用户必须记得ISAKMP使用UDP进行传输，伪造UDP是非常容易的。

厂商补丁：

Check Point Software
--------------------
Check Point建议用户升级产品：

Check Point NG with Application Intelligence R55：

http://www.checkpoint.com/techsupport/ng_application_intelligence/r55_updates.html

浏览次数：3832
严重程度：0（网友投票）