Приложение 34

7 августа 2002
Удаленный DoS в NFS сервере в FreeBSD
Network File System (NFS) позволяет хосту экспортировать файловую систему или
ее часть, так, чтобы другие хосты могли обратиться к ним по сети и установить их,
как будто они были на местных дисках. NFS использует структуру Sun Remote
Procedure Call (RPC).
Часть кода NFS сервера, который обрабатывает входящие RPC сообщения,
содержит ошибку, которая при получении сервером сообщения с нулевой длиной,
может привести к созданию ссылки на предыдущее сообщение с образованием
петли в цепочке сообщений. Это может привести к бесконечной петли в кода NFS
сервера, при попытке пересечь такую цепочку.
Некоторые версии Linux могут производить нулевые RPC сообщения в некоторых
случаях. Система FreeBSD с NFS сервером может заблокироваться при попытке
соединиться с таким клиентом. Также атакующий может сам создавать пустые RCP
сообщения, что может привести к блокировки уязвимой FreeBsd системы.
Уязвимость обнаружена во всех реализациях FREEBSD до версии 4.6.1-RELEASEp7 и 4.6-STABLE включительно.
Другие публикации:
FreeBSD-SA-02:36.nfs: Bug in NFS server code allows remote denial of service
/ Уведомления / FreeBSD /
7 августа 2002
-----BEGIN PGP SIGNED MESSAGE----===============================================================
==============
FreeBSD-SA-02:36.nfs Security Advisory
The FreeBSD Project
Topic: Bug in NFS server code allows remote denial of service
Category: core
Module: nfs
Announced: 2002-08-05
Credits: Mike Junk <junk@isilon.com>
Affects: All releases prior to 4.6.1-RELEASE-p7
4.6-STABLE prior to the correction date
Corrected: 2002-07-19 17:19:53 UTC (RELENG_4)
2002-08-01 19:31:55 UTC (RELENG_4_6)
2002-08-01 19:31:54 UTC (RELENG_4_5)
2002-08-01 19:31:54 UTC (RELENG_4_4)
FreeBSD only: NO
I. Background
The Network File System (NFS) allows a host to export some or all of its filesystems, or
parts of them, so that other hosts can access them over the network and mount them as if
they were on local disks. NFS is built on top of the Sun Remote Procedure Call (RPC)
framework.
II. Problem Description
A part of the NFS server code charged with handling incoming RPC messages had an
error which, when the server received a message with a zero-length payload, would cause
it to reference the payload from the previous message, creating a loop in the message
chain. This would later cause an infinite loop in a different part of the NFS server code
which tried to traverse the chain.
III. Impact
Certain Linux implementations of NFS produce zero-length RPC messages in some
cases. A FreeBSD system running an NFS server may lock up when such clients connect.
An attacker in a position to send RPC messages to an affected FreeBSD system can
construct a sequence of malicious RPC messages that cause the target system to lock up.
IV. Workaround
1) Disable the NFS server: set the nfs_server_enable variable to "NO"
in /etc/rc.conf, and reboot.
Alternatively, if there are no active NFS clients (as listed by the
showmount(8) utility), just killing the mountd and nfsd processes
should suffice.
2) Add firewall rules to block RPC traffic to the NFS server from
untrusted hosts.
V. Solution
The following patch has been verified to apply to FreeBSD 4.4, 4.5, and 4.6 systems.
a) Download the relevant patch from the location below, and verify the detached PGP
signature using your PGP utility.
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:36/nfs.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:36/nfs.patch.asc
b) Apply the patch.
# cd /usr/src
# patch < /path/to/patch
c) Recompile your kernel and modules as described in
<URL:http://www.freebsd.org/handbook/kernelconfig.html> and reboot the system.
VI. Correction details
The following list contains the revision numbers of each file that was corrected in
FreeBSD.
Path Revision
Branch
- ------------------------------------------------------------------------src/sys/nfs/nfs_socket.c
RELENG_4 1.60.2.5
RELENG_4_6 1.60.2.3.2.1
RELENG_4_5 1.60.2.1.6.1
RELENG_4_4 1.60.2.3.4.1
- -----------------------------------------------------------------------------BEGIN PGP SIGNATURE----Version: GnuPG v1.0.7 (FreeBSD)
iQCVAwUBPU8NTVUuHi5z0oilAQHMZAP+L80QudeELKHfZYxG5PPf6cuWkreAC
avl
LP1oJDHLWuw32K4tM0Y+v505t+U2/wGnl2dSqwkfemzxlhzfsmrbubQx8EFgO6sb
nhEEtSfu4t81ylHTY+qEWFtRweB5A1tGJaYV67wybWZxulkYJ9qnRLKF4PToc0E3
T1Y/CN0DNYA=
=2YSa
-----END PGP SIGNATURE-----