CERT-FI haavoittuvuustiedote 108/2008

5.9.2008

Haavoittuvuus NetBSD-käyttöjärjestelmän ICMPv6-toteutuksessa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

NetBSD-käyttöjärjestelmän IPv6-toteutuksesta on löytynyt haavoittuvuus. Haavoittuvuus liittyy ICMPv6-protokollan MLD-viestien (Multicast Listener Discovery) käsittelyyn. Haavoittuutta voi hyväksikäyttää lähettämällä haavoittuvalle järjestelmälle tietyllä tavalla muotoillun ICMPv6 MLD-QUERY -paketin. Haavoittuvuutta hyväksikäyttämällä voi aiheuttaa kohdejärjestelmässä palvelunestohyökkäyksen. Haavoittuvuuden hyväksikäyttö on mahdollista etäkäyttöisesti, mutta hyökkääjän on useimmissa tapauksissa oltava samassa lähiverkossa kohteen kanssa.

HAAVOITTUVAT OHJELMISTOT:

• NetBSD-versio 4.0 ja NetBSD-current

Myös muut KAME-projektin koodia käyttävät järjestelmät saattavat olla haavoituvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuteen on julkaistu korjauspäivitys. Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti:

ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-011.txt.asc

LISÄTIETOA:

• English version of the advisory

PÄIVITYSHISTORIA:

05.09.2008, kello 11.00: Julkaistu

Sivua päivitetty 05.09.2008

Tulostusversio