计算机紧急事务响应小组(CERT)合作中心警告称,互联网联盟的DHCP(动态主机配置协议)软件中存在一处安全缺陷。包括Linux和BSD Unix在内的多种操作系统都捆绑有DHCP软件。
在必要时,DHCP软件可以为网络上的计算机指派IP地址信息。例如,如果用户在Windows的网络设置中选择“自动获得IP地址”选项时,它连接的网络上的DHCP服务器将为它指定IP地址。
CERT的一名顾问称,在进行的内部代码审查中,互联网联盟的开发人员发现了几处安全缺陷,这些安全缺陷与基于栈的缓冲区溢出有关。
这一缺陷不大可能使企业网络受到任何新的外部攻击,大多数网络不允许外部用户使用DHCP服务,但是,知晓企业防火墙“软肋”的受信任网络用户完全可能利用该安全缺陷发动攻击。
CERT建议用户安装补丁软件,或者在不需要DHCP服务的情况下关闭该服务。CERT称,作为一种通用规则,我们建议用户,如果不是明确地需要,用户应当关闭和禁止任何服务和功能。根据网络配置,用户可能不会用到DHCP服务。
根据CERT合作中心的安全公告,Red Hat公司已经发布了一款安全补丁解决该问题,SuSE公司已经加紧开发解决这一问题的补丁软件,BSDI公司也已经推出了补丁软件。其他一些厂商正在对其软件进行测试,以判断其软件中是否存在该问题。
文章来源:高山流水
|
