|
Tiny Personal Firewall 3.0 拒绝服务缺陷
涉及程序:
Tiny Personal Firewall 3.0
描述:
Tiny Personal Firewall 3.0 拒绝服务缺陷
详细:
windows 平台 Tiny Personal Firewall 3.0 在它的个人防火墙代理模块,特别是 activity logger tab
存在拒绝服务缺陷。成功利用这些缺陷,攻击者将能耗尽目标系统 CPU 百分之百的资源,使系统彻底崩溃。
1] Tiny Personal Firewall 3.0 缺省安装的拒绝服务缺陷
当缺省安装的 Tiny Personal Firewall 3.0 的用户在通过发送若干 SYN, UDP, ICMP 和 TCP
全连接数据包对网络中主机进行简单端口扫描同时,又在浏览它的个人防火墙代理模块的防火墙 Log tab 时,将会导致自己的操作系统崩溃。
2] IP 欺骗和拒绝服务缺陷
这个拒绝服务缺陷与第一个缺陷有点类似,由于在阻塞防火墙自己的虚假源 IP 地址时存在缺陷,即使将防火墙配置进行了充分的安全配置,也无济于事。
攻击方法:
暂无有效攻击代码
解决方案:
厂商目前尚没有提供补丁或修复程序,建议用户随时关注厂商站点:
http://www.tinysoftware.com
1] 严格限制用户对代理模块的访问权限。
2] 对于缺陷(2)尚无临时解决方案,即使阻塞所有的IP地址,协议和端口,防火墙也无法阻止这种攻击。 |