PGPFire桌面防火墙可通过ICMP进行鉴定判别

发布时间：2002-01-28
更新时间：2002-01-28
严重程度：中
威胁程度：服务器信息泄露
错误类型：设计错误
利用方式：服务器模式

BUGTRAQ ID：3961

受影响系统

PGP Security PGPfire 7.1
   - Microsoft Windows 2000 Advanced Server
   - Microsoft Windows 2000 Advanced Server SP1
   - Microsoft Windows 2000 Advanced Server SP2
   - Microsoft Windows 2000 Datacenter Server
   - Microsoft Windows 2000 Datacenter Server SP1
   - Microsoft Windows 2000 Datacenter Server SP2
   - Microsoft Windows 2000 Professional
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 2000 Server
   - Microsoft Windows 2000 Server SP1
   - Microsoft Windows 2000 Server SP2
   - Microsoft Windows 2000 Terminal Services
   - Microsoft Windows 2000 Terminal Services SP1
   - Microsoft Windows 2000 Terminal Services SP2
   - Microsoft Windows 95
   - Microsoft Windows 95 SR2
   - Microsoft Windows 98
   - Microsoft Windows 98SE
   - Microsoft Windows ME
   - Microsoft Windows NT Enterprise Server 4.0
   - Microsoft Windows NT Enterprise Server 4.0SP1
   - Microsoft Windows NT Enterprise Server 4.0SP2
   - Microsoft Windows NT Enterprise Server 4.0SP3
   - Microsoft Windows NT Enterprise Server 4.0SP4
   - Microsoft Windows NT Enterprise Server 4.0SP5
   - Microsoft Windows NT Enterprise Server 4.0SP6
   - Microsoft Windows NT Enterprise Server 4.0SP6a
   - Microsoft Windows NT Server 4.0
   - Microsoft Windows NT Server 4.0SP1
   - Microsoft Windows NT Server 4.0SP2
   - Microsoft Windows NT Server 4.0SP3
   - Microsoft Windows NT Server 4.0SP4
   - Microsoft Windows NT Server 4.0SP5
   - Microsoft Windows NT Server 4.0SP6
   - Microsoft Windows NT Server 4.0SP6a
   - Microsoft Windows NT Terminal Server 4.0
   - Microsoft Windows NT Terminal Server 4.0alpha
   - Microsoft Windows NT Terminal Server 4.0SP1
   - Microsoft Windows NT Terminal Server 4.0SP2
   - Microsoft Windows NT Terminal Server 4.0SP3
   - Microsoft Windows NT Terminal Server 4.0SP4
   - Microsoft Windows NT Terminal Server 4.0SP5
   - Microsoft Windows NT Terminal Server 4.0SP6
   - Microsoft Windows NT Terminal Server 4.0SP6a
   - Microsoft Windows NT Workstation 4.0
   - Microsoft Windows NT Workstation 4.0SP1
   - Microsoft Windows NT Workstation 4.0SP2
   - Microsoft Windows NT Workstation 4.0SP3
   - Microsoft Windows NT Workstation 4.0SP4
   - Microsoft Windows NT Workstation 4.0SP5
   - Microsoft Windows NT Workstation 4.0SP6
   - Microsoft Windows NT Workstation 4.0SP6a

详细描述
PGPfire 是一款桌面防火墙系统，有PGP安全公司推出，使用在WINDOWS操作系统上。

当PGPfire安装在系统上的时候，软件会代替默认的WINDOWS TCP堆栈特征，不过
通过这个操作，由于其堆栈特征不同于任何一个操作系统，可以导致系统更容易的
被确定鉴别。

测试代码
[root@mavrick root]# tcpdump -xnvv
tcpdump: listening on eth0
17:34:11.113066 192.168.1.100.64257 > 192.168.1.5.32132:  udp 70 (DF)
(ttl 250, id 28832, len 98)
                          4500 0062 70a0 4000 fa11 8c30 c0a8 0164
                          c0a8 0105 fb01 7d84 004e 0312 0000 0000
                          0000 0000 0000 0000 0000 0000 0000 0000
                          0000 0000 0000 0000 0000 0000 0000 0000
                          0000 0000 0000 0000 0000 0000 0000 0000
                          0000
17:34:11.113066 192.168.1.5 > 192.168.1.100: icmp:
192.168.1.5 udp port 32132 unreachable for 192.168.1.100.64257 >
192.168.1.5.32132:  udp 70 (ttl 250, id 28832, len 98) (ttl 128, id
11150, len 56)
                          4500 0038 2b8e 0000 8001 8b7d c0a8 0105
                          c0a8 0164 0303 8116 0000 0000 4500 0062
                          70a0 0000 fa11 cc30 c0a8 0164 c0a8 0105
                          fb01 7d84 004e 0312
查看ICMP错误信息，ECHO的原始信息为：

4500, 0062, 70a0 然后 0000！

此信息类似基于ULTIX系统的信息，但是很容易来区分装了Network Associates
PGP Corporate Desktop 7.1 with PGPfire Personal Desktop Firewall和ULTIX
的区别，如果我们检查回应的UDP头，如基于ULTRIX机器这个回应域值会是0，
而运行此防火墙的系统会正确的回应。

解决方案
尚无

相关信息
Ofir Arkin <ofir@stake.com>
参考：http://www.securityfocus.com/archive/1/252407

最近严重漏洞

PGPFire桌面防火墙可通过ICMP进行鉴定判别