La pila de IPv6 en FreeBSD provee una opción de cabecera de ruteo que permite enviar paquete como si este ya fue enrutado, eliminando información sobre redes conocidas. Esta funcionalidad es algo parecida a la opción "source routing" en Ipv4. Todos los nodos en una red IPv6 - routers y equipos -requieren cumplir el RFC 2640 para procesar este tipo de cabeceras.
Kernel | != | RELENG_5, 5.5-STABLE |
Kernel | != | RELENG_5_5, 5.5-RELEASE-p12 |
Kernel | == | RELENG_6, 6.2-STABLE |
Kernel | != | RELENG_6_1, 6.1-RELEASE-p16 |
Kernel | == | RELENG_6_2, 6.2-RELEASE-p4 |
No hay un mecanismo para prevenir en IPv6 las cabeceras de enrutamiento a ser usadas en paquetes de enrutado sobre el mismo medio en un mismo momento.
Un atacante puede amplificar un ataque de negación de servicios a través de un enlace entre dos equipos vulnerables, esto es, enviando un volumen pequeño de trafico el atacante puede consumir una gran cantidad de ancho de banda entre los equipos vulnerables.
Un atacante puede usar equipos vulnerables para concentrar un ataque de negación de servicios contra un equipo víctima o una red, esto a través de enviar paquetes en rafagas de 30 segundos.
Otros ataques pueden ser posibles.
Una solución inmediata es configurar la variable del sistema net.inet6.ip6.rthdr0_allowed a través del sysctl a un valor distinto de cero.
Actualizar el sistema a través de los siguientes pasos:
1) Actualizar el sistema vulnerable a 5-STABLE o 6-STABLE o actualizar las versiones
RELENG_6_2, RELENG_6_1, or RELENG_5_5 a la fecha.
2) Para parchar el sistema:
El siguiente parche ha sido verificado en los sistemas FreeBSD 5.5, 6.1, y 6.2.
a) Descargar el parche correspondiente y verificar la firma del mismo a través de una utilería PGPG.
# fetch http://security.FreeBSD.org/patches/SA-07:03/ipv6.patch
# fetch http://security.FreeBSD.org/patches/SA-07:03/ipv6.patch.asc
b) Aplicar el parche.
# cd /usr/src
# patch < /path/to/patch
c) Recompilar el kernel y reiniciar el sistema.
Liga recomendada para consultar:
http://www.FreeBSD.org/handbook/kernelconfig.html
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT