涉及程序:
NetScreen 防火墻
描述:
NetScreen 防火墻相同源IP地址用戶無需身份驗證
詳細:
Netscreen是一款知名的防火墻產(chǎn)品。Netscreen防火墻在設計用戶身份的驗證機制上存在bug,遠程攻擊者可此bug未經(jīng)授權非法訪問防火墻內受保護資源。
NetScreen防火墻在進行用戶名和口令的身份驗證時,如果相同源IP地址的某一個用戶已經(jīng)通過認證,那么任何其他人擁有與驗證者同一源IP地址的用戶無需驗證就可以訪問受保護資源。
NetScreen支持小組的反饋是:當前設計的驗證機制是僅僅基于源IP地址的,因此多個用戶從同一IP訪問,Netscreen會驗證第一個用戶,當驗證會話建立后,NetScreen會允許其他同一IP用戶通過。這表示同一LAN中的其他用戶可以無需認證訪問資源。目前沒有解決方案。如果在這種拓撲中需要驗證,在訪問Netscreen前建議對第一個NAT設備進行驗證。
攻擊方法:
如果相同源IP地址的某一個用戶已經(jīng)通過認證,那么任何其他人擁有與驗證者同一源IP地址的用戶無需驗證就可以訪問受保護資源。
解決方案:
目前廠商還沒有提供補丁或升級程序,建議用戶隨時關注廠商站點:
http://www.netscreen.com
