TCP/IP jabedun pila batean
Treck-en TCP/IP pila erabiliz eraso-helburu nabarmenak HP sareko inprimagailuak eta Intel txipak dira. Besteak beste, Treck TCP/IP pilako arazoak azkenaldiko arrazoiak izan ziren
Arazoak aurkitu dira IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 eta ARP protokoloen ezarpenean, eta datu-tamainaren parametroen prozesamendu okerretik (tamaina-eremu bat erabiliz, benetako datu-tamaina egiaztatu gabe), akatsak izan dira. sarrerako informazioa egiaztatzea, memoria askatzea bikoitza, bufferetik kanpo irakurketak, zenbaki osoen gainezkatzea, sarbide-kontrol okerra eta nuluz mugatutako kateak maneiatzeko arazoak.
Bi arazo arriskutsuenek (CVE-2020-11896, CVE-2020-11897), CVSS 10. maila esleituta, gailu batean kodea exekutatzea ahalbidetzen dute, formateatutako IPv4/UDP edo IPv6 pakete bereziak bidaliz. Lehenengo arazo larria IPv4 tuneletarako euskarria duten gailuetan agertzen da, eta bigarrena 04.06.2009/6/9 baino lehen IPv2020 euskarria duten bertsioetan. Beste ahultasun kritiko bat (CVSS 11901) DNS konpontzailean dago (CVE-XNUMX-XNUMX) eta kodea exekutatzea ahalbidetzen du bereziki landutako DNS eskaera bat bidaliz (arazoa Schneider Electric APC UPS-en hackeatzea frogatzeko erabili zen eta gailudun gailuetan agertzen da. DNS euskarria).
Beste ahultasun batzuk CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905, IPv4/ICMPv4, IPv6OverIPv4, IPv6OverIPv6 edo IPvXNUMXOverIPvXNUMX, DHCP DHCP edo DHCPvXNUMX-ren edukia agerian uzten dute. bereziki diseinatutako paketeak sistemaren memoria eremuak bidaltzea. Beste arazo batzuek zerbitzua ukatzea edo sistemaren bufferetatik hondar datuak isurtzea eragin dezakete.
Ahultasun gehienak Treck 6.0.1.67-n konponduta daude (CVE-2020-11897 5.0.1.35-n konponduta dago, CVE-2020-11900 6.0.1.41-en, CVE-2020-11903 6.0.1.28-2020-n, CVE-11908-4.7.1.27-n 20. 6). Gailu zehatzetarako firmware-eguneratzeak prestatzea atzeratu edo ezinezkoa izan daitekeenez (Treck pila 4 urte baino gehiago daramatza erabilgarri, gailu asko mantendu gabe geratzen dira edo eguneratzen zailak dira), administratzaileei gomendatzen zaie gailu arazotsuak isolatzea eta paketeak ikuskatzeko sistemak, suebakiak konfiguratzea. edo bideratzaileak zatitutako paketeak normalizatzeko edo blokeatzeko, IP tunelak blokeatzeko (IPv6-in-IPvXNUMX eta IP-in-IP), blokeatzeko "iturburu-bideraketa", TCP paketeetan aukera okerrak ikuskatzeko gaitzeko, erabili gabeko ICMP kontrol-mezuak blokeatzeko (MTU Eguneratzea eta Helbide-maskara), desgaitu IPvXNUMX multicast eta birbideratu DNS kontsultak DNS zerbitzari errekurtsibo seguru batera.
Iturria: opennet.ru