TigerTeam - suomalainen tietoturvablogi

1 merkintä avainsanalla ”tcp/ic”:

TCP/IP-haavoittuvuuksien yksityiskohtien julkaisua voidaan odottaa pitkään

Kirjoitti Juha-Matti Laurio 10. syyskuuta 2009 Kommentoi

Toissapäivänä julkistettiin korjauksia TCP/IP-pinon haavoittuvuuksiin, jotka koskettavat useita ohjelmisto- ja laitevalmistajia. Julkaisua on odotettu tietoturvayhteisössä pitkään, koska tieto näiden haavoittuvuuksien olemassaolosta saatiin jo viime vuoden elokuussa mm. tämän mp3-podcastin myötä.

Haavoittuvuuden julkaisua koordinoi yhdessä valmistajien kanssa Suomen CERT-FI, joka julkaisi tapauksesta tiedonannon tiistai-iltana.

Otsikkotasolla haavoittuvuudet tunnetaan seuraavilla nimillä:

CVE-2008-4609: TCP/IP Zero Window Size Vulnerability – receive window size -arvoksi voidaan syöttää hyvin pieni arvo tai nolla

CVE-2009-1926: TCP/IP Orphaned Connections Vulnerability – yhteys saadaan jumiutumaan FIN-WAIT-1- tai FIN-WAIT-2-tilassa

Mitä siis on tiedossa haavoittuvuuksien luonteesta? Windowsin osalta se koskee versioita Windows 2000 SP4, Windows XP SP3 ja aikaisemmat, Windows 2003 Server SP2, Windows Vista SP2 ja aikaisemmat, Windows Server 2008 sekä useat x64-pohjaiset versiot. Windows 7:ää ei tapaus koske. Tähän mennessä korjauksia tai tiedon niiden valmistelusta ovat julkaisseet mm. Cisco, RedHat, CheckPoint ja Sun Microsystems.

Microsoft on MS09-048:n myötä julkaissut uudet versiot yleisimmistä TCP/IP-toteutukseen liittyvistä kirjastoista (Tcpip.sys, Tcpip6.sys, Tcpipreg.sys) ja W03a3409.dll. Myös komennoista Netstat.exe jne. on jakelussa uudet versiot.

Löydöistä CVE-2008-4609:stä vastaa yhdysvaltalainen Jack C. Louis Outpost24 AB:stä ja CVE-2009-1926:stä Fabian “fabs” Yamaguchi saksalaisesta Recurity Labs GmbH:sta. Outpost käytti testeissään Sockstress-rasitustestaustyökalua.

Recurity Labsin eilen julkaisema tiedonanto sijaitsee täällä.

Tutkija menehtyi ennen korjausten valmistumista

Yhdessä Robert E. Leen kanssa tapausta tutkinut Louis menehtyi maaliskuussa tulipalossa 32-vuotiaana.

Sitä oliko hänen sähköpostissaan mm. ohjelmisto- ja laitevalmistajille lähetettävien viestien luonnoksia tai julkistusta odottavaa white paperia tapauksesta ei tiedetä. Tietoturva-alan ammattilaisena Louis lienee suojannut nämä vahvalla salauksella.

On mahdollista, että Lee julkaisee tarkempia tietoja kun korjauksia on riittävällä laajuudella asennettu järjestelmiin.

Tagit: sockstress, tcp/ic Delicious Kommentoi