The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.09.2014 13:36  Уязвимость в TCP-стеке FreeBSD, позволяющая обрывать чужие TCP-соединения

Во всех поддерживаемых ветках FreeBSD выявлена уязвимость (CVE-2004-0230), позволяющая сторонним атакующим, способным выполнить спуфинг IP-трафика и знающим номера портов двух сторон соединения, сбрасывать установленные TCP-соединения через отправку двух специально оформленных пакетов. В случае, если номер порта клиентской стороны неизвестен, для успешного проведения атаки требуется отправить менее 2^17 поддельных пакетов, что может быть сделано менее чем за секунду при наличии высокоскоростного доступа в сеть.

Уязвимость вызвана недоработкой в TCP-стеке, из-за которой при поступлении сегмента с SYN-флагом для уже установленного соединения производилось завершение данного соединения, без выполнения проверки корректности указанного в пакете номера последовательности (Sequence Number), идентифицирующей соединение. Т.е. соединение можно сбросить отправив пакет с указанием фиктивного IP-адреса, без необходимости подбора Sequence Number.

Проблема устранена в свежих обновлениях, выпущенных для веток FreeBSD 8.x, 9.x и 10.x. Кроме применения патча в качестве мер защиты могут быть применены традиционные методы борьбы со спуфингом на стороне маршрутизатора или активировано отслеживание корректности сеансов на стороне межсетевого экрана (stateful traffic inspection), например, силами PF (достаточно использовать набор правил по умолчанию). Интересно, что аналогичная уязвимость была исправлена в NetBSD ещё 10 лет назад.

  1. Главная ссылка к новости (https://www.freebsd.org/securi...)
  2. OpenNews: В TCP-стеке FreeBSD выявлена опасная уязвимость
  3. OpenNews: Критические уязвимости в TCP/IP стеке Solaris
  4. OpenNews: Исследователи нашли фундаментальную уязвимость во всех TCP/IP стеках
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: freebsd, tcp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, arcsin, 13:41, 17/09/2014 [ответить] [смотреть все]    [к модератору]
  • +/
    это ж известная игровая консоль пользует  этот TCP-стек!
     
     
  • 2.6, XoRe, 14:18, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +14 +/
    > это ж известная игровая консоль пользует  этот TCP-стек!

    Узнал ip противника - выкинул его из игры!

     
     
  • 3.11, thedima, 14:34, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]
  • +9 +/
    фразу "я тебя по IP вычислю" не зря придумали
     
     
  • 4.14, IMHO, 14:44, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    кто ламеры, которые начитались про старые телнет взломи в наше время много мег... весь текст скрыт [показать]
     
  • 3.12, Нанобот, 14:34, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    мелко мыслите известная ОС для роутеров использует этот tcp-стек bgp-сессии че... весь текст скрыт [показать]
     
     
  • 4.26, XoRe, 17:44, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, вам только остается узнать ip адреса bgp neighbour ов провайдера И надеятьс... весь текст скрыт [показать]
     
  • 3.19, Аноним, 15:39, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А игры не через UDP работают?
     
     
  • 4.25, XoRe, 17:42, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А игры не через UDP работают?

    По разному.

     
  • 4.41, Нанобот, 20:55, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    корейские мморпг работают по tcp. причина мне не известна
     
     
  • 5.46, arisu, 22:16, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    причина очевидна корейские разработчики ... весь текст скрыт [показать]
     
     
  • 6.59, Аноним, 17:35, 18/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Они сделали самую успешную по числу игрунов MMORG за всю историю Ариша наср л ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 14:01, 17/09/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Фейспалм иль не фейспалм 8212 вот в чём вопрос То есть насколько реально экс... весь текст скрыт [показать]
     
     
  • 2.9, XoRe, 14:23, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Это эпик фейспалм http i68 fastpic ru big 2014 0916 81 181669f99f80f3fe3339cd... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Anonymous528, 15:21, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Да, все таки EpicFacePalm если ... весь текст скрыт [показать]
     
  • 2.54, Аноним, 11:09, 18/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    //эксплуатируема
    не благодари
     
  • 1.3, Гость, 14:06, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Придется 4.9 обновлять до current :)
     
     
  • 2.8, XoRe, 14:22, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Не торопись, бро 4 9 не так уж и плох ... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Shtober, 15:36, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Мы в тебя верим))
     
  • 2.37, Аноним, 20:18, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    а мну 6.4 (:
     
     
  • 3.40, нектоинечто, 20:54, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    ну и торопыги, я только месяц назад _стабильную_ 4.7 поставил. =))
     
  • 2.57, YetAnotherOnanym, 13:37, 18/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    2.2.8 всех зарулит
     
  • 1.4, Аноним, 14:06, 17/09/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Лишнее доказательство, что в Windows скопипасчен TCP IP стек BSD В Windows эта ... весь текст скрыт [показать]
     
     
  • 2.13, Нанобот, 14:38, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    > Лишнее доказательство, что в Windows скопипасчен TCP/IP стек BSD.
    > В Windows эта дыра поправлена в 2005 году

    таким образом, на сегодняшний день сетевой стек freebsd на девять лет отстаёт от сетевого стека windows

     
     
  • 3.27, Аноним, 17:55, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    По исправлению данной конкретной ошибки А по всем остальным 99 9999 сетевого с... весь текст скрыт [показать]
     
  • 2.30, Аноним, 18:17, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Какое ещё доказательство В Windows до Vista лицензирован сторонний стек, разраб... весь текст скрыт [показать] [показать ветку]
     
  • 2.48, Аноним, 23:23, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В OpenBSD, для начала, PF включён по умолчанию ... весь текст скрыт [показать] [показать ветку]
     
  • 2.50, Аноним, 00:46, 18/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Он-же от NetBSD отпочкавался, кто им мешал 10 лет назад продолжать брать заплатк... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 14:08, 17/09/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Для web-серверов не слишком актуальная проблема Какие важные сервисы держат сое... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 14:21, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Мир не вокруг веб-сервисов крутится.
     
     
  • 3.31, Аноним, 18:24, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да ну? А вокруг чего же?
     
     
  • 4.38, bOOster, 20:45, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    httpS
     
  • 4.44, byu, 21:36, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > Да ну? А вокруг чего же?

    Вокруг Солнца.

     
  • 2.35, Аноним, 19:43, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Файлопомойки
     
  • 1.10, IMHO, 14:33, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    мой адрес 127.0.0.1
     
     
  • 2.15, Нанобот, 14:44, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +12 +/
    > мой адрес 127.0.0.1

    типичная ситуация, когда freebsd не поддерживает сетевую карту...

     
     
  • 3.17, Anonymous528, 15:23, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Выпивает он видимо с зеркалом ... весь текст скрыт [показать]
     
  • 3.28, Аноним, 17:57, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    как и в любой другой операционной системе ... весь текст скрыт [показать]
     
     
  • 4.33, irinat, 19:03, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В Windows XP, кажется, надо было устанавливать loopback адаптер отдельно ... весь текст скрыт [показать]
     
     
  • 5.34, arisu, 19:09, 17/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    lolwut ... весь текст скрыт [показать]
     
     
  • 6.36, angra, 19:46, 17/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Ну ошибся он чуток, не в winXP, а в win95.

     
     
  • 7.53, Зевака, 10:14, 18/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В 2000
     
     
  • 8.55, Andrey Mitrofanov, 12:04, 18/09/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    С OpenNET сообщают в комментариях к теме про FreeBSD состоялась тематическая ... весь текст скрыт [показать]
     
  • 1.20, IMHO, 15:53, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    да из всего, три года на FreeBSD хоть бы кто с хакеров так  издевался с меня по сети
     
  • 1.22, Аноним, 17:13, 17/09/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    А еще АПШК Контитент построен на FreeBSD _ Можно будет рвать соединения между ... весь текст скрыт [показать]
     
     
  • 2.47, Аноним, 22:33, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Уж этому-то дерьму хуже явно не станет.
     
  • 1.23, Аноним, 17:34, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ежели чужие, то это не баг а фича
     
     
  • 2.39, Аноним, 20:52, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Судя по патчу это был бэкдор :)
     
  • 1.42, fds, 21:20, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Добавьте, пожалуйста, что эта уязвимость также была исправлена черти-когда, однако позже была reintroduced в результате ослабления соответствующих проверок. Вот тут подробнее:
    http://lists.freebsd.org/pipermail/svn-src-head/2014-September/062593.html
     
  • 1.43, fds, 21:23, 17/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Во фре эта уязвимость была исправлена в 2003, а позже возвращена в 2009 для совместимости с "бажными tcp-стеками".
     
     
  • 2.45, SubGun, 21:40, 17/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Оставь, BSD хейтеры должны хоть где-то душу отвести.
     
     
  • 3.49, Black Paladin, 00:43, 18/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вы хотели сказать "linux hate'еры получили огромную брешь".
     
  • 3.52, snake7, 07:20, 18/09/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да-да, где-то тут бродит один из оных, аналовращатель зовётся, щаз припрётся хаять Фрю, такой же повод! )
     
  • 1.51, бедный буратино, 07:18, 18/09/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    обожаю обрывать чужие соединения TCP! спасибо за фичу!
     
  • 1.56, Иван, 12:27, 18/09/2014 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Так вроде MacOS на FreeBSD основан? Не?
     
     
  • 2.58, Аноним, 16:26, 18/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    MacOS MacOS X, не путайте Вторая действительно основана на Darwin, которая в... весь текст скрыт [показать] [показать ветку]
     
  • 1.62, Аноним, 12:51, 22/09/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Juniper подоспел http kb juniper net InfoCenter index page content id JSA10638... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor