新手上路
 精华: 0
 积分: 2
 帖子: 3  威望: 0 点 金钱: 0 币 贡献: 3 点 经验: 01级 
 阅读权限: 10
 注册: 2007-7-2
 状态:
|
1#
大 中
小 发表于 2007-7-2 15:03 只看该作者
NetScreen可预测TCP初始化序列号漏洞
NetScreen可预测TCP初始化序列号漏洞 发布日期:2002-11-25 更新日期:2002-12-02 受影响系统: NetScreen ScreenOS 4.0 NetScreen ScreenOS 3.1.0 NetScreen ScreenOS 3.0.0 NetScreen ScreenOS 2.8 NetScreen ScreenOS 2.6 NetScreen ScreenOS 1.7 不受影响系统: NetScreen ScreenOS 4.0.1 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 6249 Netscreen是一款处理防火墙安全解决方案,实现线速数据包处理能力。 ScreenOS生成TCP初始化序列号的算法存在漏洞,远程攻击者可以利用这个漏洞进行典型的IP欺骗攻击,未授权访问系统服务,绕过某些验证安全策略。 ScreenOS生成TCP初始化序列号的算法存在问题可导致序列号可预测,使用可预测的TCP ISN和IP欺骗,可以用来访问TCP应用程序或者未授权访问基于IP地址访问的服务。 此漏洞可以在NetScreen设备本身的TCP连接上利用,也可以利用在需要匹配策略来验证的TCP连接。当NetScreen设备执行SYN proxying代理保护主机时,通过SYN-FLOOD保护的两个主间通信也可能被利用。 这个漏洞不能在基于IPSEC,SSH加密的通信中利用,或者不能对使用对通信修改能够探测的机制进行利用。 <*来源:NetScreen Security Alert 链接:http://www.netscreen.com/support ... quence_Numbers.html *> 建议: -------------------------------------------------------------------------------- 临时解决方法: 如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: * 配置只允许使用对通信修改能够探测的协议(IPSEC,SSH,SSL等)通过防火墙。 * 关闭或者调整syn-flood保护相关参数以降低漏洞危险性。 厂商补丁: NetScreen --------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: NetScreen Upgrade ScreenOS 4.0.1 http://www.netscreen.com/support/updates.asp
|
2001-2007 Comsenz Inc.
