首页 -> 安全研究

安全研究

安全漏洞
FreeBSD-SA-00:61 tcpdump远程溢出漏洞

发布日期:2000-10-31
更新日期:2000-11-08

受影响系统:

FreeBSD 3.x,
FreeBSD 4.x(低于4.2版)
FreeBSD 3.5.1-STABLE
FreeBSD 4.1.1-STABLE(更正日期以前的版本)
不受影响系统:

2000-10-04 (FreeBSD 4.1.1-STABLE)
2000-10-05 (FreeBSD 3.5.1-STABLE)



描述:


* FreeBSD重新更新了他们的安全公告,因为在原来的公告中所带的补丁程序并没
* 有完全解决tcpdump的问题。实际上,它并没有解决远程执行任意代码的问题。
* 我们建议即使是已经打过原有补丁的用户也立即使用新的补丁程序升级


tcpdump 是一个用来监视网络活动的工具。FreeBSD所带版本的tcpdump被发现
存在多个缓冲区溢出漏洞。一些溢出可能允许远程攻击者很容易的导致本地的
tcpdump进程崩溃。然后一个新版本的tcpdump(v3.5)(FreeBSD 4.0-RELEASE,
4.1-RELEASE 和 4.1.1-RELEASE都带有这个版本)中对AFS ACL报文的解码处
理中存在一个更为严重的问题,允许远程攻击者在本地主机上执行任意代码,
通常是以root身份,既然运行tcpdump需要root权限。

对于那些使用tcpdump作为入侵检测系统工具的系统来说,这将是一个问题。
例如,如果攻击者能够使所有正在监听的tcpdump进程崩溃,他们的后续的活动
就不能被监视和发现。

所有更正日期之前的FreeBSD版本,包括3.5.1-RELEASE, 4.0-RELEASE,
4.1-RELEASE 和4.1.1-RELEASE都存在远程崩溃的问题。FreeBSD 4.0-RELEASE,
4.1-RELEASE 和 4.1.1-RELEASE也存在远程执行代码的问题。这些问题都已经
在4.1.1-STABLE中解决.

<* 来源:FreeBSD Security Advisory: FreeBSD-SA-00:61.tcpdump
*>



建议:

临时解决方法:

NSFOCUS建议您在没有升级程序之前按照FreeBSD安全公告中的方法去做:

不要在可能包含来自不可信主机报文的网络环境中使用有问题的tcpdump版本。


解决方法:

您可以采用下列方法中的任意一种:

1) 将您的有问题的FreeBSD系统升级到4.1.1-STABLE和3.5.1-STABLE版本

2a) 对于更正日期之前(2000-10-05)的FreeBSD 3.x系统:

使用下面的补丁程序并且重建tcpdump二进制程序.您可以从下列地址下载补丁
以及PGP签名文件,并使用您的PGP工具来验证签名。

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:61/tcpdump-3.x.patch
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:61/tcpdump-3.x.patch.asc

# cd /usr/src/contrib/tcpdump
# patch -p < /path/to/patch
# cd /usr/src/usr.sbin/tcpdump
# make depend && make all install

2b) 对于更正日期之前(2000-10-04)的FreeBSD 4.x系统:


注意: FreeBSD原来的公告中所带的补丁程序并没有完全解决tcpdump的问题。
实际上,它并没有解决远程执行任意代码的问题。我们建议即使是已经打过原
有补丁的用户也立即使用新的补丁程序升级


使用下面的补丁程序并且重建tcpdump二进制程序.您可以从下列地址下载补丁
以及PGP签名文件,并使用您的PGP工具来验证签名。

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:61/tcpdump-4.x.patch.v1.1
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:61/tcpdump-4.x.patch.v1.1.asc

# cd /usr/src/contrib/tcpdump
# patch -p < /path/to/patch
# cd /usr/src/usr.sbin/tcpdump
# make depend && make all install

浏览次数:8800
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障