Sun Solaris网络接口拒绝服务攻击漏洞

漏洞信息详情

Sun Solaris网络接口拒绝服务攻击漏洞

漏洞简介

Solaris是一款由Sun Microsystems公司开发和维护的商业性质Unix操作系统。
Solaris存在未明漏洞,远程攻击者可以利用这个漏洞导致部分网络接口停止对正常TCP通信的响应。
目前没有获得具体漏洞细节。
问题可能是部分本地接口的路由信息已经从系统的路由表中移除:
在正常工作系统中:
$ netstat -rvan | grep UHL

会显示系统中每个网络接口(物理和逻辑的)的相关条目,每个接口的IP会显示在第一栏中而接口名会出现在第三栏中。
并且:
$ netstat -rvan | grep \”^127.0.0.1\” | grep UH | grep -v UHA

会显示环回接口\”lo0\”(IP地址127.0.0.1)的条目。
在受此漏洞影响后的系统,下面的命令列出的输出将与正常网络的输出不同:
$ netstat -rvan | grep UHL

会不显示网络接口(物理和逻辑的)的相关条目。或者:
$ netstat -rvan | grep \”^127.0.0.1\” | grep UH | grep -v UHA
将没有输出。
示例如下:
下面是系统接口的输出:
$ ifconfig -a
lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 192.29.69.2 netmask ffffff00 broadcast 192.29.69.255
qfe0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 192.29.79.2 netmask ffffff00 broadcast 192.29.79.255
qfe0:1: flags=9040843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 192.29.89.25 netmask ffffff00 broadcast 192.29.89.255
qfe1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4
inet 192.29.99.3 netmask ffffff00 broadcast 192.29.99.255
qfe2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 5
inet 192.29.59.4 netmask ffffff00 broadcast 192.29.59.255

在正常工作系统中:
$ netstat -rvan | grep UHL
192.29.69.2 255.255.255.255 — hme0 8232* 0 5 UHL 61 130
192.29.89.25 255.255.255.255 — qfe0:1 8232* 0 1 UHL 0 60
192.29.79.2 255.255.255.255 — qfe0 8232* 0 1 UHL 0 121
192.29.99.3 255.255.255.255 — qfe1 8232* 247 173 UHL 4787 34168
192.29.59.4 255.255.255.255 — qfe2 8232* 0 1 UHL 0 75
显示了每个网络接口(\”hme0\”, \”qfe0\”, \”qfe1\”, \”qfe2\” and \”qfe0:1\”)的相关条目。并且:
$ netstat -rvan | grep \”^127.0.0.1\” | grep UH | grep -v UHA
127.0.0.1 255.255.255.255 127.0.0.1 lo0 8232* 0 2 UH

环回接口\”lo0\” (127.0.0.1)也显示相关条目,意味着告诉我们\”lo0\”没有受此漏洞影响。
而在受此漏洞影响的系统中,执行如下命令将显示如下输出:
$ netstat -rvan | grep UHL
192.29.69.2 255.255.255.255 — hme0 8232* 0 5 UHL 61 209
192.29.89.25 255.255.255.255 — qfe0:1 8232* 0 1 UHL 0 131
192.29.79.2 255.255.255.255 — qfe0 8232* 0 1 UHL 0 181
192.29.59.4 255.255.255.255 — qfe2 8232* 0 1 UHL

这里\”qfe1\”接口就没有显示。
如果环回接口\”lo0\” (127.0.0.1)受此漏洞影响:
$ netstat -rvan | grep \”^127.0.0.1\” | grep UH | grep -v UHA

上面的命令将没有任何输出。

漏洞公告

临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 出现如上问题,可以通过把受此漏洞影响的接口关闭和开启来恢复。

* 使用ndd(1m)工具调整”ip_ire_arp_interval”参数为1分钟来暂时解决这个问题:

# ndd -set /dev/ip ip_ire_arp_interval 60000

设置ndd “ip_ire_arp_interval”参数可以减少此问题发生机会,但也对网络性能造成负面影响。
厂商补丁:
Sun

Sun已经为此发布了一个安全公告(Sun-Alert-48601)以及相应补丁:

Sun-Alert-48601:Solaris 8 and Solaris 9 Network Interface may Stop Responding to TCP Traffic

链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48601” target=”_blank”>
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48601

补丁下载:

Sun Solaris 8.0 _x86:

Sun Patch T-patch T113653-01

http://sunsolve.sun.com/tpatches” target=”_blank”>
http://sunsolve.sun.com/tpatches

For use with patch 108529-17.

Sun Solaris 8.0:

Sun Patch T-patch T113652-01

http://sunsolve.sun.com/tpatches” target=”_blank”>
http://sunsolve.sun.com/tpatches

For use with patch 108528-17.

Sun Solaris 9.0:

Sun Patch T-patch T112902-07

http://sunsolve.sun.com/tpatches” target=”_blank”>
http://sunsolve.sun.com/tpatches

参考网址

来源: SUNALERT
名称: 48601
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-48601-1

来源: XF
名称: solaris-tcp-interface-dos(10600)
链接:http://xforce.iss.net/xforce/xfdb/10600

来源: BID
名称: 6147
链接:http://www.securityfocus.com/bid/6147

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享