OpenBSD Packet Filter Guvenlik Zaafiyeti

puffy44Birkac gün once OpenBSD Packet Filter güvenlik duvarını etkileyen ciddi bir açıklık yayınlandı. Açıklık Packet Filter’in kendi üzerinden yönlendiği ip protokollerini düzgün işleyememesinden kaynaklanıyor.

Açıklığı değerlendiren kötü niyetli birileri birkaç paketle güvenlik duvarını çalışamaz hale getirebilir.

Açıklığı bulan arkadaş testlerini Nmap ile göstermiş. Biz de aynı örneği kullanarak güvenlik duvarımızı(Packet Filter) test edelim.

Test için nmap’in -sO(IP Protokol tarama) özelliğini kullanıyoruz.

-sO: IP protocol scan

[email protected]:~# nmap -sO 192.168.2.39

Starting Nmap 4.85BETA7 ( http://nmap.org ) at 2009-04-15 11:00 EDT
Interesting protocols on 192.168.2.39:
Not shown: 243 closed protocols
PROTOCOL STATE         SERVICE
1        open          icmp
2        open|filtered igmp
4        open|filtered ip
6        open          tcp
17       filtered      udp
41       open|filtered ipv6
47       open|filtered gre
50       open|filtered esp
51       open|filtered ah
55       open|filtered mobile
97       open|filtered etherip
112      open|filtered vrrp
240      open|filtered unknown
MAC Address: 00:0C:29:D4:8C:76 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 16.34 seconds

Bu komutun hedef olarak çalıştırıldığı sistemde herhangi bir IP paketi nat/binat/rdr yapılmışsa OpenBSD aşağıdaki gibi çakılacaktır.

openbsd_pf

OpenBSD takımı tarafından yayınlanan bildiri

013: RELIABILITY FIX: April 11, 2009 All architectures
When pf attempts to perform translation on a specially crafted IP datagram, a null pointer dereference will occur, resulting in a kernel panic. In certain configurations this may be triggered by a remote attacker.
Restricting translation rules to protocols that are specific to the IP version in use, is an effective workaround until the patch can be installed. As an example, for IPv4 nat/binat/rdr rules you can use:

    nat/rdr ... inet proto { tcp udp icmp } ...

Or for IPv6 nat/binat/rdr rules you can use:

    nat/rdr ... inet6 proto { tcp udp icmp6 } ...

A source code patch exists which remedies this problem.

Açıklıktan korunmak için yukardaki yama yüklenebilir ya da nat/binat/rdr kurallarını yazarken protokol belirtimi yapılabilir.

Yaptığım testlere göre  FreeBSD 7 üzerinde çalışan Packet Filter sürümü etkilenmiyor

This entry was posted in Firewalls, OpenBSD. Bookmark the permalink.

1 Response to OpenBSD Packet Filter Guvenlik Zaafiyeti

  1. Pingback: ~ Ali Kapucu | Network & System & Security Research Worker ~ » OpenBSD Packet Filter güvenlik açığı

Leave a Reply

Your email address will not be published. Required fields are marked *

3 × five =