CVE-2002-1585
CVSS5.0
发布时间 :2002-11-08 00:00:00
修订时间 :2008-09-10 15:15:00
NMCO    

[原文]Unknown vulnerability in Solaris 8 for Intel and Solaris 8 and 9 for SPARC allows remote attackers to cause a denial of service via certain packets that cause some network interfaces to stop responding to TCP traffic.


[CNNVD]Sun Solaris网络接口拒绝服务攻击漏洞(CNNVD-200211-013)

        
        Solaris是一款由Sun Microsystems公司开发和维护的商业性质Unix操作系统。
        Solaris存在未明漏洞,远程攻击者可以利用这个漏洞导致部分网络接口停止对正常TCP通信的响应。
        目前没有获得具体漏洞细节。
        问题可能是部分本地接口的路由信息已经从系统的路由表中移除:
        在正常工作系统中:
         $ netstat -rvan | grep UHL
        
        会显示系统中每个网络接口(物理和逻辑的)的相关条目,每个接口的IP会显示在第一栏中而接口名会出现在第三栏中。
        并且:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        
        会显示环回接口"lo0"(IP地址127.0.0.1)的条目。
        在受此漏洞影响后的系统,下面的命令列出的输出将与正常网络的输出不同:
         $ netstat -rvan | grep UHL
        
        会不显示网络接口(物理和逻辑的)的相关条目。或者:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        将没有输出。
        示例如下:
        下面是系统接口的输出:
         $ ifconfig -a
         lo0: flags=1000849 mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
         hme0: flags=1000843 mtu 1500 index 2
         inet 192.29.69.2 netmask ffffff00 broadcast 192.29.69.255
         qfe0: flags=1000843 mtu 1500 index 3
         inet 192.29.79.2 netmask ffffff00 broadcast 192.29.79.255
         qfe0:1: flags=9040843 mtu 1500 index 3
         inet 192.29.89.25 netmask ffffff00 broadcast 192.29.89.255
         qfe1: flags=1000843 mtu 1500 index 4
         inet 192.29.99.3 netmask ffffff00 broadcast 192.29.99.255
         qfe2: flags=1000843 mtu 1500 index 5
         inet 192.29.59.4 netmask ffffff00 broadcast 192.29.59.255
        
        在正常工作系统中:
         $ netstat -rvan | grep UHL
         192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 130
         192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 60
         192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 121
         192.29.99.3 255.255.255.255 -- qfe1 8232* 247 173 UHL 4787 34168
         192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL 0 75
        显示了每个网络接口("hme0", "qfe0", "qfe1", "qfe2" and "qfe0:1")的相关条目。并且:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
         127.0.0.1 255.255.255.255 127.0.0.1 lo0 8232* 0 2 UH
        
        环回接口"lo0" (127.0.0.1)也显示相关条目,意味着告诉我们"lo0"没有受此漏洞影响。
        而在受此漏洞影响的系统中,执行如下命令将显示如下输出:
         $ netstat -rvan | grep UHL
         192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 209
         192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 131
         192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 181
         192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL
        
        这里"qfe1"接口就没有显示。
        如果环回接口"lo0" (127.0.0.1)受此漏洞影响:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        
        上面的命令将没有任何输出。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/o:sun:solaris:9.0::sparc
cpe:/o:sun:solaris:8.0
cpe:/o:sun:solaris:8.0::x86

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1585
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-1585
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200211-013
(官方数据源) CNNVD

- 其它链接及资源

http://sunsolve.sun.com/search/document.do?assetkey=1-26-48601-1
(PATCH)  SUNALERT  48601
http://xforce.iss.net/xforce/xfdb/10600
(UNKNOWN)  XF  solaris-tcp-interface-dos(10600)
http://www.securityfocus.com/bid/6147
(UNKNOWN)  BID  6147

- 漏洞信息

Sun Solaris网络接口拒绝服务攻击漏洞
中危 其他
2002-11-08 00:00:00 2005-10-20 00:00:00
远程※本地  
        
        Solaris是一款由Sun Microsystems公司开发和维护的商业性质Unix操作系统。
        Solaris存在未明漏洞,远程攻击者可以利用这个漏洞导致部分网络接口停止对正常TCP通信的响应。
        目前没有获得具体漏洞细节。
        问题可能是部分本地接口的路由信息已经从系统的路由表中移除:
        在正常工作系统中:
         $ netstat -rvan | grep UHL
        
        会显示系统中每个网络接口(物理和逻辑的)的相关条目,每个接口的IP会显示在第一栏中而接口名会出现在第三栏中。
        并且:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        
        会显示环回接口"lo0"(IP地址127.0.0.1)的条目。
        在受此漏洞影响后的系统,下面的命令列出的输出将与正常网络的输出不同:
         $ netstat -rvan | grep UHL
        
        会不显示网络接口(物理和逻辑的)的相关条目。或者:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        将没有输出。
        示例如下:
        下面是系统接口的输出:
         $ ifconfig -a
         lo0: flags=1000849 mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
         hme0: flags=1000843 mtu 1500 index 2
         inet 192.29.69.2 netmask ffffff00 broadcast 192.29.69.255
         qfe0: flags=1000843 mtu 1500 index 3
         inet 192.29.79.2 netmask ffffff00 broadcast 192.29.79.255
         qfe0:1: flags=9040843 mtu 1500 index 3
         inet 192.29.89.25 netmask ffffff00 broadcast 192.29.89.255
         qfe1: flags=1000843 mtu 1500 index 4
         inet 192.29.99.3 netmask ffffff00 broadcast 192.29.99.255
         qfe2: flags=1000843 mtu 1500 index 5
         inet 192.29.59.4 netmask ffffff00 broadcast 192.29.59.255
        
        在正常工作系统中:
         $ netstat -rvan | grep UHL
         192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 130
         192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 60
         192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 121
         192.29.99.3 255.255.255.255 -- qfe1 8232* 247 173 UHL 4787 34168
         192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL 0 75
        显示了每个网络接口("hme0", "qfe0", "qfe1", "qfe2" and "qfe0:1")的相关条目。并且:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
         127.0.0.1 255.255.255.255 127.0.0.1 lo0 8232* 0 2 UH
        
        环回接口"lo0" (127.0.0.1)也显示相关条目,意味着告诉我们"lo0"没有受此漏洞影响。
        而在受此漏洞影响的系统中,执行如下命令将显示如下输出:
         $ netstat -rvan | grep UHL
         192.29.69.2 255.255.255.255 -- hme0 8232* 0 5 UHL 61 209
         192.29.89.25 255.255.255.255 -- qfe0:1 8232* 0 1 UHL 0 131
         192.29.79.2 255.255.255.255 -- qfe0 8232* 0 1 UHL 0 181
         192.29.59.4 255.255.255.255 -- qfe2 8232* 0 1 UHL
        
        这里"qfe1"接口就没有显示。
        如果环回接口"lo0" (127.0.0.1)受此漏洞影响:
         $ netstat -rvan | grep "^127.0.0.1" | grep UH | grep -v UHA
        
        上面的命令将没有任何输出。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 出现如上问题,可以通过把受此漏洞影响的接口关闭和开启来恢复。
        * 使用ndd(1m)工具调整"ip_ire_arp_interval"参数为1分钟来暂时解决这个问题:
         # ndd -set /dev/ip ip_ire_arp_interval 60000
        
        设置ndd "ip_ire_arp_interval"参数可以减少此问题发生机会,但也对网络性能造成负面影响。
        厂商补丁:
        Sun
        ---
        Sun已经为此发布了一个安全公告(Sun-Alert-48601)以及相应补丁:
        Sun-Alert-48601:Solaris 8 and Solaris 9 Network Interface may Stop Responding to TCP Traffic
        链接:
        http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48601

        补丁下载:
        Sun Solaris 8.0 _x86:
        Sun Patch T-patch T113653-01
        
        http://sunsolve.sun.com/tpatches

        For use with patch 108529-17.
        Sun Solaris 8.0:
        Sun Patch T-patch T113652-01
        
        http://sunsolve.sun.com/tpatches

        For use with patch 108528-17.
        Sun Solaris 9.0:
        Sun Patch T-patch T112902-07
        
        http://sunsolve.sun.com/tpatches

- 漏洞信息

14850
Solaris Unspecified Malformed TCP Packet Remote DOS
Remote / Network Access Denial of Service
Loss of Availability

- 漏洞描述

Unknown or Incomplete

- 时间线

2002-11-08 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站