发布日期：2005-06-30
更新日期：2005-06-30

受影响系统：

FreeBSD FreeBSD 5.4-RELEASE

描述：

---

BUGTRAQ  ID: 14102
CVE(CAN) ID: CVE-2005-2019

FreeBSD ipfw(8)系统工具允许IP报文过滤、重新定向和通讯计算。ipfw查询表允许有效的指定许多可以用于报文匹配的IP地址。

ipfw表查询代码缓存最后查询的结果。内核可以同时处理多个报文，执行多个并行的表查询。由于不充分的锁定，缓存的结果可能被破坏，导致将一些地址不正确的匹配到查询表。

如果同ipfw使用查询表的话，在很不常见的情况下报文可能错误的匹配查询表。这可能导致处理报文的方法与定义的报文过滤规则组相悖。例如，在应该丢弃报文的情况下却允许报文通过。

仅在对称多处理器(SMP)系统或启用了PREEMPTION kernel选项(非默认)的单处理器(UP)系统中才会出现这个漏洞。

<*来源：Max Laier
  
  链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:13.ipfw.asc
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

a) 不要使用查询表

或者

b) 通过设置debug.mpsafenet=0变量在网络栈中禁止并行处理报文：

   # echo "debug.mpsafenet=0" >> /boot/loader.conf

厂商补丁：

FreeBSD
-------
FreeBSD已经为此发布了一个安全公告（FreeBSD-SA-05:13）以及相应补丁:
FreeBSD-SA-05:13：ipfw packet matching errors with address tables
链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:13.ipfw.asc

补丁下载：

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:13/ipfw.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:13/ipfw.patch.asc

浏览次数：3343
严重程度：1（网友投票）