Sistemas No Afectados

1. Descripción

   No hay un mecanismo para prevenir en IPv6 las cabeceras de enrutamiento a ser usadas en paquetes de enrutado sobre el mismo medio en un mismo momento.

2. Impacto

   Un atacante puede amplificar un ataque de negación de servicios a través de un enlace entre dos equipos vulnerables, esto es, enviando un volumen pequeño de trafico el atacante puede consumir una gran cantidad de ancho de banda entre los equipos vulnerables.

   Un atacante puede usar equipos vulnerables para concentrar un ataque de negación de servicios contra un equipo víctima o una red, esto a través de enviar paquetes en rafagas de 30 segundos.

   Otros ataques pueden ser posibles.

3. Solución

   Una solución inmediata es configurar la variable del sistema net.inet6.ip6.rthdr0_allowed a través del sysctl a un valor distinto de cero.

   Actualizar el sistema a través de los siguientes pasos:

   1) Actualizar el sistema vulnerable a 5-STABLE o 6-STABLE o actualizar las versiones

   RELENG_6_2, RELENG_6_1, or RELENG_5_5 a la fecha.

   2) Para parchar el sistema:

   El siguiente parche ha sido verificado en los sistemas FreeBSD 5.5, 6.1, y 6.2.

   a) Descargar el parche correspondiente y verificar la firma del mismo a través de una utilería PGPG.

   # fetch http://security.FreeBSD.org/patches/SA-07:03/ipv6.patch

   # fetch http://security.FreeBSD.org/patches/SA-07:03/ipv6.patch.asc

   b) Aplicar el parche.

   # cd /usr/src

   # patch < /path/to/patch

   c) Recompilar el kernel y reiniciar el sistema.

   Liga recomendada para consultar:

   http://www.FreeBSD.org/handbook/kernelconfig.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)