【待反馈】防火墙解决ICMP时间戳漏洞
为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:宝塔面板:V11.5.0
系统版本:
系统:UOS 20
问题描述:
目前有个漏洞需要修复,漏洞详情:
漏洞名称ICMP时间戳检测(原理扫描)
CVE编号CVE-1999-0524
CNNVD编号CNNVD-199708-003
CNCVE编号CNCVE-19990524
漏洞描述远程主机响应ICMP时间戳请求。 时间戳回复是回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。
修复建议过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMPtimestamp回复报文
目前查到的解决方案是:
防火墙增加阻止ICMP 时间戳请求(timestamp-request)报文
比如:
sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" icmp-type="timestamp-request" drop'sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" icmp-type="timestamp-reply" drop'
我使用命令增加了以后该漏洞还是存在。
系统自带的防火墙和宝塔的防火墙不是一回事吗?
使用面板的防火墙可以解决该问题吗?
相关截图(日志、错误):
您好,您可以使用下面命令测试下是否完成修复
请把192.168.1.100改成您自己的外网IP
ping -i 13 192.168.1.100
如果显示请求超时,无任何有效回复,就是修复完成了
如果依然能收到目标主机的回复,且保护时间戳相关的信息,则说明未能修复完成
页:
[1]