Linux勧告ウォッチ - 2006年1月13日(金)

Benjamin-D.-Thomas(2006年1月13日(金))
シェア
今週は、hylafax、hal、poppler、pdftohtml、libpaperl、xpdf、gpdf、apache2に関する勧告が公開された。配布元には、Gentoo、Mandrivaが含まれる。

IPv6のVoIP向けTCP SYNフラッド攻撃対策(パートIV)
著者:Suhas Desai

6. IPv6 の対策

サービスプロバイダは、音声、ビデオ、データと、ゲーム、双方向TV、メッセージングなどの革新的サービスを、ひとつのパイプで提供しようと先を争っている。同時に、ネットワーク設備はIPv6にアップグレードされつつある。しかし、リアルタイムIPv6セキュリティはパフォーマンスを圧迫する。SIP、H.323、オーディオパケットのシグナルを送信するVoIPの高速検査、有効な音声トラフィックをワイヤレスネットワークに通す塔sンホール狽フ迅速な開閉といった、アプリケーションインテリジェンスがその原因だ。

アプリケーションフィルタリングやIPv6用に有効化されたファイアウォールによって、アプリケーションパフォーマンスはIPV4での最高値と比べ90%以上も低下し得る。

IPv6のアプリケーションパフォーマンス向上に使用される手段として、以下のものがある。

  • 実際のアプリケーショントラフィックデータ、音声、ビデオを何万ものクライアントとサーバーでエミュレートする。
  • Webページ数/秒、VoIP呼セットアップ時間、FTPファイル伝送率、TCP SYNハンドシェイクシグナルによるインスタントメッセージ送信によって、パフォーマンスとエクスペリエンス品質を測定する。

IPv4/v6で重複するサービスの場合は、以下のDoS攻撃への対処に加え、さらに3つのネットワークパフォーマンス問題に対処しなければならない。IPv6における対策では、ネットワークテスタのコンフィグレーションでこれらに対応できる。

6.2 DoS攻撃

  • 従来のレイヤ3-4攻撃も含め、フィルタする必要がある。TCP SYNフラッド攻撃のような従来の攻撃もIPv6に移植されている。
  • ICMPv6攻撃
  • アプリケーション層攻撃(SIPセットアップ/ティアダウン・フラッド攻撃やRTPストリーム挿入など)
  • アプリケーション攻撃はCPUパフォーマンスを低下させるので特に影響が大きい。

6.3 VoIP攻撃の弱点

VoIP攻撃の弱点は、以下の攻撃によってVoIPにも影響するようにDoS攻撃をシミュレートする。

  • 従来のDoS攻撃(TCP SYNフラッド攻撃、Ping of Death攻撃)
  • VoIP音声挿入――不正なRTPストリームのシミュレート
  • VoIP DoS攻撃――同一アドレス上の呼セットアップ/ティアダウンのバーストのシミュレート

6.4 パフォーマンスの問題

6.4.1
長いIPv6アドレス

ファイアウォールルールとACLでIPv6アドレスに対応しなければならない。これによってパフォーマンスが低下する可能性がある。

6.4.2
IPv6の可変長ヘッダ

より複雑になった暗号化と認証のヘッダセクションを解析してフィルタしなければならず、また、アプリケーション層ヘッダとコンテンツをフィルタするための暗号化/復号化コードやメッセージ認証計算コードも実行する必要がある。

6.4.3
IPv6 DoS攻撃

IPv6/v4とIPv4/v6のトンネリングによって、細工された複雑なTCP SYNパケット内にアプリケーション層攻撃が隠蔽される可能性がある。

6.5 トリプルプレイ手法

これは、アプリケーション対応デバイスがボトルネックにならないようにするための新しい手法だ。

6.5.1
リアルタイム・アプリケーション・パフォーマンス

6.5.2
SIPセットアップ/ティアダウン攻撃などPv6でのDoS攻撃を追加する。アプリケーションパフォーマンスの低下を数値化する。

記事全文:
http://www.linuxsecurity.com/content/view/121205/49/

Gentoo
Gentoo:HylaFAXの複数の弱点
2006年1月6

HylaFAXに、任意のコードの実行と不正アクセスの弱点がある。
Mandriva
Mandriva:HALパッケージのカードリーダーのバグの修正
2006年1月5日

Mandriva 2006のHALでは、SCSIリムーバブルディスクとしてアドバタイズするカードリーダーが正しく処理されない。これにより、ユーザがメモリカードを挿入しても、HALでfstabのエントリが正常に作成されなくなっていた。最新パッケージはこの問題に対処するように修正されている。
Mandriva:popplerパッケージの複数の弱点の修正
2006年1月5日

Xpdf 3.01のStreamPredictor関数のヒープベース・バッファ・オーバーフローにより、リモートの攻撃者が、numComps(コンポーネント数)フィールドを範囲外にしたPDFファイルを使用して、任意のコードを実行できる(CVE-2005-3192)。xpdf 3.01およびそれ以前のJPXストリーム解析コード(JPXStream.c)にあるJPXStream::readCodestream関数のヒープベース・バッファ・オーバーフローにより、ユーザと共謀した攻撃者が、割り当てメモリ不足になるような大きいサイズ値のPDFファイルを細工して、Denial of Service(ヒープ破壊)を発生させ、任意のコードを実行できる可能性がある。
Mandriva:pdftohtmlパッケージの複数の弱点の修正
2006年1月5日

Xpdf 3.01のStreamPredictor関数のヒープベース・バッファ・オーバーフローにより、リモートの攻撃者が、numComps(コンポーネント数)フィールドを範囲外にしたPDFファイルを使用して、任意のコードを実行できる(CVE-2005-3192)。xpdf 3.01およびそれ以前のJPXストリーム解析コード(JPXStream.c)にあるJPXStream::readCodestream関数のヒープベース・バッファ・オーバーフローにより、ユーザと共謀した攻撃者が、割り当てメモリ不足になるような大きいサイズ値のPDFファイルを細工して、Denial of Service(ヒープ破壊)を発生させ、任意のコードを実行できる可能性がある。
Mandriva:x86_64プラットフォーム向けlibpaper1パッケージ
2006年1月5日

Corporte Desktop 3.0/x86_64にはlibpaper1ライブラリがなかったので、含まれているgpdfプログラムとkpdfプログラムが動作しなかった。このアップデートではlibpaper1が用意されている。
Mandriva:xpdfパッケージの複数の弱点の修正
2006年1月5日

xpdf 3.01およびそれ以前のDCTストリーム解析コード(Stream.cc)にあるDCTStream::readProgressiveSOF関数とDCTStream::readBaselineSOF関数の複数のヒープベース・バッファ・オーバーフローにより、ユーザと共謀した攻撃者が、配列インデックスとして使用されるコンポーネント数(numComps)を範囲外にしたPDFファイルを細工して、Denial of Service(ヒープ破壊)を発生させ、任意のコードを実行できる可能性がある(CVE-2005-3191)。
Mandriva:gpdfパッケージの複数の弱点の修正
2006年1月5日

xpdf 3.01およびそれ以前のDCTストリーム解析コード(Stream.cc)にあるDCTStream::readProgressiveSOF関数とDCTStream::readBaselineSOF関数の複数のヒープベース・バッファ・オーバーフローにより、ユーザと共謀した攻撃者が、配列インデックスとして使用されるコンポーネント数(numComps)を範囲外にしたPDFファイルを細工して、Denial of Service(ヒープ破壊)を発生させ、任意のコードを実行できる可能性がある(CVE-2005-3191)。
Mandriva:apache2パッケージの弱点の修正
2006年1月5日

mod_imapに、イメージマップでRefererディレクティブを使用した場合の欠陥が発見された。サイトのコンフィグレーションによっては、リモートの攻撃者がこれを悪用してクロスサイト・スクリプティング攻撃を行う可能性がある。これは、標的が特定のWebブラウザを使用して不正なURLに強制的に移動させられる場合に可能になる(CVE-2005-3352)。

原文