ΑρχικήsecurityΤο DHCP επιδιορθώνει το Denial-of-Service Bug

Το DHCP επιδιορθώνει το Denial-of-Service Bug

Το ISC, το Internet Systems Consortium, διόρθωσε ένα ελάττωμα στη στοίβα λογισμικού DHCP του, που θα επέτρεπε σε έναν εισβολέα να κρασάρει DHCP clients, διακομιστές και relays.

Το DHCP επιδιορθώνει το Denial-of-Service Bug

Το DHCP (Dynamic Host Configuration Profil) πρωτόκολλο επιτρέπει σε μια συσκευή να ζητήσει και να λάβει μια διεύθυνση IP από έναν τοπικό διακομιστή. Το πρωτόκολλο είναι ένας από τους ακρογωνιαίους λίθους του Διαδικτύου και είναι ζωτικής σημασίας για τον σύγχρονο εξοπλισμό που συνδέεται με το Internet, επιτρέποντάς του να συνδεθεί δυναμικά σε διακομιστές χωρίς να χρειάζεται να ρυθμίσετε χειροκίνητα σε μια διεύθυνση IP κατά το configuration κάθε συσκευής.

Το πρωτόκολλο στηρίζεται σε συσκευές που χρειάζονται σύνδεση στο Internet μέσω ειδικών πακέτων λογισμικού. Ένα από τα πλέον χρησιμοποιούμενα πακέτα λογισμικού που εξασφαλίζουν DΗCP υποστήριξη είναι η DHCP εφαρμογή του ISC.

Οι ερευνητές ασφαλείας του Sophos ανακάλυψαν πρόσφατα ένα ελάττωμα που επηρεάζει όλες τις εκδόσεις του πακέτου ISC DHCP, το οποίο μπορεί να κρασάρει στέλνοντάς του ένα κακόβουλο πακέτο δικτύου με μη έγκυρο IPv4 UDP length field.

Όλοι οι DΗCP διακομιστές, clients και relays επηρεάζονται, εκτός από αυτούς που έχουν διαμορφωθεί για να λειτουργούν μόνο σε unicast mode. Ενώ το DΗCP λειτουργεί τις περισσότερες φορές σε unicast mode και μόνο, οι αρχικές DHCP διαπραγματεύσεις client-server πραγματοποιούνται πάντοτε μέσω multicast μηνυμάτων. Αυτό σημαίνει ότι είναι πολύ λίγα τα μηχανήματα (μόνο με ειδικές διαμορφώσεις δικτύου) που έχουν συσταθεί να λειτουργούν αποκλειστικά με unicast λειτουργία και ως εκ τούτου είναι ευαίσθητα σε αυτές τις επιθέσεις.

Ο σκοπός του να κρασάρει κανείς έναν DΗCP client μπορεί να είναι ο διαχωρισμός ενός μηχανήματος από το αρχικό του δικτύου ή, αν ο διακομιστής είναι ο στόχος, να κρασάρει το LAN δίκτυο μεταξύ διαφόρων σεναρίων επίθεσης.

Το ISC λέει ότι δεν υπάρχει καμία τεχνική μετριασμού που μπορεί να εφαρμοστεί για να αποφευχθούν αυτά τα είδη των επιθέσεων και ότι ο μόνος τρόπος για να προστατεύσουν τον εαυτό τους οι χρήστες είναι να εφαρμόζουν την πιο πρόσφατη έκδοση του DΗCP πακέτου.

Για να διορθώσετε αυτή την ευπάθεια (CVE-2015-8605), το ISC έχει κυκλοφορήσει τιε εκδόσεις 4.1-ESV-R12-P1 και 4.3.3-P1 του DHCP πακέτου του.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS