Biztonsági hiba a Symantec Raptor tűzfalában

A biztonsági hiba az úgynevezett TCP Initial Sequence Numbers (ISN) generálásának eljárásában rejlik, melyet akkor használ a tűzfal, amikor új kapcsolat jön létre (véletlenszámok létrehozására és kezelésére).

Röviddel azután, hogy a kezdeményező kapcsolat lezárul, a rendszer az ugyanarról az IP-címről és TCP-portról érkező kapcsolatok esetén újrafelhasználja ugyanazt a számot – mindezt a jobb teljesítmény érdekében. Ez alatt a kis idő alatt (amíg a régi kapcsolat már nem él, de az új még nem jött létre) egy támadó jogosulatlan hozzáférést szerezhet (úgynevezett spoofing eljárással), az IP-cím és a TCP-port információk alapján.

A legnagyobb hiba azonban mégsem ebben rejlik – véli Ubizen Luxembourg, a biztonsági hiba felfedezője – hanem abban, hogy a véletlenül generált számok gyakorta könnyen megfejthetők egy hacker számára. Mivel az ISN-ek a forrás és a célrendszer portszámára illetve IP-címére alapulva jönnek létre, ezért viszonylag könnyen visszafejthetők.

Az érintett rendszerek

Raptor Firewall 6.5 for Windows NT
Raptor Firewall V6.5.3 for Solaris
Symantec Enterprise Firewall 6.5.2 for Windows 2000 and NT
Symantec Enterprise Firewall V7.0 for Solaris
Symantec Enterprise Firewall 7.0 for Windows 2000 and NT
VelociRaptor Model 500/700/1000
VelociRaptor Model 1100/1200/1300
Symantec Gateway Security 5110/5200/5300

Mindenki számára, akit érint a fenti biztonsági hiba, elérhetővé tette a Symantec a javítást, melyet a kapcsolódó linkek egyikére kattintva le lehet tölteni.