Security Lab

Проблемы с фильтрацией маленьких пакетов в Ipfilter.

Дата публикации:09.10.2001
Всего просмотров:1159
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Ядро Linux 2.4 включает новую и очень мощную систему межсетевой защиты, NAT и архитектуру управления пакетами по имени Netfilter.

Одно из расширений, активированных по умолчанию - MAC модуль, который соответствует пакетам, проходящим через firewall на основе их MAC адреса. Этот модуль предлагает администраторам некоторую защиту против злонамеренного внутреннего пользователя, который подменяет их IP адрес. MAC модуль не делает правильное соответствие очень маленьким пакетам. Например, маленькие ping пакеты могут быть произведены Unix командой 'ping somehost –s 4', или подобной Windows командой 'ping somehost -l 4'. Netcat с опцией -u может производить маленькие UDP пакеты, которые вызывают ту же самую проблему.