|
受影响系统:
FreeBSD FreeBSD 5.2-RELEASE
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9992
IPv6是新的Internet协议,设计用于替代IPv4,FreeBSD使用KAME项目IPv6实现。
FreeBSD在处理部分IPv6套接口选项时存在问题,远程攻击者可以利用这个漏洞获得部分内存中的敏感信息。
FreeBSD 5.2版本中的setsockopt(2)系统调用处理部分IPv6套接口选项中存在编程错误,可导致无需验证访问部分内存区域,使攻击者获得部分敏感信息。
FreeBSD 5.2版本存在此漏洞,其他操作系统不受此漏洞影响。
<*来源:FreeBSD
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:06.ipv6.asc
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 通过如下步骤关闭IPv6:
在内核配置文件中注释掉任何'INET6',重新编译内核:
http://www.freebsd.org/handbook/kernelconfig.html
* 如果所有不可信用户限制在jail(8)中,确保security.jail.socket_Unixiproute_only sysctl设置为1及验证没有IPv6套接口当前打开:
# sysctl security.jail.socket_unixiproute_only=1
# sockstat -6
厂商补丁:
FreeBSD
-------
FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-04:06)以及相应补丁:
FreeBSD-SA-04:06:setsockopt(2) IPv6 sockets input validation error
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:06.ipv6.asc
补丁下载:
FreeBSD FreeBSD 5.2 -RELEASE:
FreeBSD Patch ipv6.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:06/ipv6.patch
FreeBSD Patch ipv6.patch.asc
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:06/ipv6.patch.asc
|
