FreeBSD는 3.2-RELEASE 부터 tcp_wrapper 를 제공해 왔다. 그런데 이 운영체제 내에서 역 DNS lookup이 일어나는 동안 수치결과에 대한 결함체크(flawed check)가 오히려 tcp_wrapper 에서 DNS결과의 온전성체크(sanity check)의 검증을 저해시키는 결과가 발생하고 있다.
이러한 온전성 체크는 환경파일에서 ‘PARANOID’ ACL에 의해서만 enable 되어 진다. 다행히 추가적인 결함체크로 인한 이러한 취약점은 FreeBSD 4.4-RELEASE부터는 존재 하지 않는다.
역 DNS lookup의 결과값을 변경시킬 수 있는 공격자는 신뢰관계에 있는 호스트인 것처럼 위장함으로써 tcp_wrapper의 PARANOID ACL 제한성을 우회할 수 있으며, 원격호스트의 IP 어드레싱을 포함하고 있는 DNS zone의 관리자라면 훨씬 더 쉽게 시스템에 침입할 수가 있다.
2. 결함기종
FreeBSD 4.1.1-RELEASE
FreeBSD 4.2-RELEASE
FreeBSD 4.3-RELEASE
correction date 이전의 FreeBSD 4.3-STABLE
3. 해결책
1. FreeBSD 4.3-STABLE (수정일 : 2001-07-04 20:18:11 UTC) 나 RELENG_4_3 (수정일 : 2001-07-04 20:18:54 UTC)로 Upgrade한다.
2. FreeBSD 4.2-RELEASE, 4.3-RELEASE 그리고 4.3-STABLE(수정이전)에 대한 pacth를 적용한다.
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:56/tcp_wrappers.patch
%cd /usr/src/
%patch -p < /path/to/patch
%cd /usr/src/lib/libwap
%make depend && make all install