关键信息总结 预警编号 CARTSA-20020402 漏洞描述 问题:Linux Netfilter NAT实现中存在一个漏洞,当连接的第一个数据包触发NAT规则且 NAT设备以ICMP错误消息响应时,ICMP错误消息中的内部IP包未正确反NAT。这可能导致发现主机的哪些端口被NAT处理以及数据包的实际去向。某些状态下防火墙可能不识别相关连接,从而丢弃ICMP错误包。 影响版本 iptables版本:所有低于iptables-1.2.6a的内核补丁包版本。 内核版本:从2.4.4到(至少)2.4.19-pre6的所有内核版本使用了漏洞版本。 处置状态 厂商响应:Netfilter团队已经解决此问题,但补丁未被纳入内核。正在开发新补丁。 解决方案 1. 升级内核: - 使用修复补丁 netfilter补丁 (自5月8日起链接有效)或 Cartel Sécurité补丁 升级。 2. 临时解决:在最终解决前使用过滤未跟踪本地数据包作为临时方案: 示例 给出了数据包示例和对应的ICMP错误信息示例来说明漏洞工作原理。 工具引用 提供了nmap修补版用作策略框架开发的参考。