火曜日, 11月 24, 2009

TCP (RFC1122) セキュリティーDoS問題


TCP (RFC1122)Probing Zero Windowsのセキュリティー問題を発表されました@US-CERT Vulnerability Note VU#723308.

パケットの受信側zero byte windowの制限無し関係でクライアントにDoSアタックの影響になる可能性があります、つまりTCP-state問題になりマシンのネットワークリソースがかかり過ぎFREEZE状態になり、又は、memoryエラー又はbuffer overflow問題です。

本問題につきDoSアタックをsockstressアタック仕組み又はsockstreamアタック又はNKiller2ツールを使うと再現が出来ます。

RFC 1122のセクション4.2.2.17に書いたルールは問題の原因となり、TCPのデサインエラーの結果リサーチとなります、詳しくは英文でこの辺です⇒ 「A TCP MAY keep its offered receive window closed indefinitely. As long as the receiving TCP continues to send acknowledgments in response to the probe segments, the sending TCP MUST allow the connection to stay open」

ソリューションはRFCを変更し、OSとネットワークデバイスパケットコミュニケーション仕組みも変えなきゃ行けないです。

今の所はTCP使う有名な製品メーカが影響されている状態です、つまりCisco、Check Point Software Technologies、HewlettPackard、Linuxカーネル、Microsoft、Sun Microsystems、ExtremeNetworksなど(詳しい一覧とベンダー発表情報ははこちらへ)

本問題のReferenceは下記のURLとなります↓
http://tools.ietf.org/html/rfc1122#page-92
http://tools.ietf.org/html/draft-ananth-tcpm-persist-01
http://tools.ietf.org/html/draft-mahesh-persist-timeout-02
http://www.cpni.gov.uk/Docs/tn-03-09-security-assessment-TCP.pdf
https://www.cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html
http://shlang.com/netkill/
http://www.phrack.org/issues.html?issue=66&id=9#article
http://isc.sans.org/diary.html?storyid=5104
http://www.t2.fi/2008/08/27/jack-c-louis-and-robert-e-lee-to-talk-about-new-dos-attack-vectors/
http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_id=164939&WT.svl=tease2_2
http://www.ietf.org/mail-archive/web/tcpm/current/msg04040.html
http://www.ietf.org/mail-archive/web/tcpm/current/msg03826.html
http://www.ietf.org/mail-archive/web/tcpm/current/msg03503.html
http://www.ietf.org/mail-archive/web/tcpm/current/msg02870.html
http://www.ietf.org/mail-archive/web/tcpm/current/msg02557.html
http://www.ietf.org/mail-archive/web/tcpm/current/msg02189.html
http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.6.31.y.git;a=blob;f=net/ipv4/tcp_timer.c;h=b144a26359bcf34a4b0606e171f97dc709afdfbb;hb=120f68c426e746771e8c09736c0f753822ff3f52#l233
http://sla.ckers.org/forum/read.php?14,27324
http://www.checkpoint.com/defense/advisories/public/announcement/090809-tcpip-dos-sockstress.html
http://www.securityfocus.com/archive/1/archive/1/506331/100/0/

追加情報↓
もっとCERTのURLベース
Date Public: 2006-07-20
Date First Published: 2009-11-23
Date Last Updated: 2009-11-23
CERT Advisory:
CVE-ID(s): CVE-2009-1926; CVE-2008-4609
US-CERT Technical Alerts:
Metric: 15.59
Document Revision: 112回
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティーモニターセンター

0 件のコメント:

コメントを投稿