FreeSoftWarrior
01-dic-2005, 10:29
Vulnerabilidad "SynAttackProtect" en Microsoft Windows
http://www.vsantivirus.com/vul-synattackprotect-291105.htm
Por Angela Ruiz
angela@videosoft.net.uy
Algunas versiones de Microsoft Windows parecen propensas a ser afectadas por una vulnerabilidad del tipo denegación de servicio (DoS), que puede ser explotada de forma remota.
La vulnerabilidad surge debido a un error de diseño en la función responsable del manejo de la "hash table" cuando es usada por el parámetro "SynAttackProtect".
La "hash table" (o tabla de dispersión) se utiliza para rearmar los trozos en que se dividen los paquetes al ser transmitidos por una red. "SynAttackProtect" es un parámetro para proteger el equipo de ataques SYN-Flood (inundación de paquetes SYN).
Cada vez que se intenta crear una conexión con alguna máquina remota, comienza una negociación que consiste en el envío de paquetes SYN (petición de conexión). La máquina remota reserva recursos para la conexión por cada paquete SYN recibido. Si no se controla, el envío de miles de paquetes SYN puede agotar los recursos del equipo afectado. Ello es lo que hace el parámetro "SynAttackProtect" en el registro.
Los reportes de esta vulnerabilidad, indican que la función afectada, usada por la pila TCP/IP, puede crear valores predecibles en la tabla hash, permitiendo a un atacante el envío de un gran número de paquetes SYN, todos con un valor idéntico. Un ataque exitoso puede provocar una denegación de servicio.
No se conocen exploits para esta vulnerabilidad.
Windows 2003 SP1 y Windows 2000 SP4 con Update Roll-Up no son afectados.
Productos vulnerables:
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows 2000 Server SP4
- Microsoft Windows 2000 Server SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP4
- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP4
- Microsoft Windows 2000 Datacenter Server SP3
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP4
- Microsoft Windows 2000 Advanced Server SP3
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
Productos NO vulnerables:
- Microsoft Windows Server 2003 Web Edition SP1
- Microsoft Windows Server 2003 Standard Edition SP1
- Microsoft Windows Server 2003 Enterprise Edition SP1
- Microsoft Windows Server 2003 Datacenter Edition SP1
Solución:
Al momento actual no se conocen parches para este problema.
http://www.vsantivirus.com/vul-synattackprotect-291105.htm
Por Angela Ruiz
angela@videosoft.net.uy
Algunas versiones de Microsoft Windows parecen propensas a ser afectadas por una vulnerabilidad del tipo denegación de servicio (DoS), que puede ser explotada de forma remota.
La vulnerabilidad surge debido a un error de diseño en la función responsable del manejo de la "hash table" cuando es usada por el parámetro "SynAttackProtect".
La "hash table" (o tabla de dispersión) se utiliza para rearmar los trozos en que se dividen los paquetes al ser transmitidos por una red. "SynAttackProtect" es un parámetro para proteger el equipo de ataques SYN-Flood (inundación de paquetes SYN).
Cada vez que se intenta crear una conexión con alguna máquina remota, comienza una negociación que consiste en el envío de paquetes SYN (petición de conexión). La máquina remota reserva recursos para la conexión por cada paquete SYN recibido. Si no se controla, el envío de miles de paquetes SYN puede agotar los recursos del equipo afectado. Ello es lo que hace el parámetro "SynAttackProtect" en el registro.
Los reportes de esta vulnerabilidad, indican que la función afectada, usada por la pila TCP/IP, puede crear valores predecibles en la tabla hash, permitiendo a un atacante el envío de un gran número de paquetes SYN, todos con un valor idéntico. Un ataque exitoso puede provocar una denegación de servicio.
No se conocen exploits para esta vulnerabilidad.
Windows 2003 SP1 y Windows 2000 SP4 con Update Roll-Up no son afectados.
Productos vulnerables:
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows 2000 Server SP4
- Microsoft Windows 2000 Server SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP4
- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP4
- Microsoft Windows 2000 Datacenter Server SP3
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP4
- Microsoft Windows 2000 Advanced Server SP3
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
Productos NO vulnerables:
- Microsoft Windows Server 2003 Web Edition SP1
- Microsoft Windows Server 2003 Standard Edition SP1
- Microsoft Windows Server 2003 Enterprise Edition SP1
- Microsoft Windows Server 2003 Datacenter Edition SP1
Solución:
Al momento actual no se conocen parches para este problema.