信息提供：	安全公告（或线索）提供热线：51cto.editor@gmail.com
漏洞类别：	序列号不够强壮漏洞
攻击类型：	远程攻击
发布日期：	2002-08-02
更新日期：	2002-08-06
受影响系统：	Symantec Gateway Security 5300 Symantec Gateway Security 5200 Symantec Gateway Security 5110 Symantec Enterprise Firewall 6.5.2 NT/2000 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Symantec Enterprise Firewall 7.0 NT/2000 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Symantec Enterprise Firewall 7.0 Solaris - Sun Solaris 7.0 - Sun Solaris 2.6 Symantec Ghost Corporate Edition 7.5 - Microsoft Windows XP - Microsoft Windows NT 4.0 - Microsoft Windows 98 - Microsoft Windows 2000 Symantec Raptor Firewall 6.5 Windows NT - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP4 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 Symantec Raptor Firewall 6.5.3 Solaris - Sun Solaris 7.0 - Sun Solaris 2.6
安全系统：	无
漏洞报告人：	Kristof Philipsen
漏洞描述：	BUGTRAQ ID: 5387 CVE(CAN) ID: CVE-2002-1463 Symantec产品包含一系列的硬件和软件防火墙产品。 Symantec多个产品在生成TCP初始序列号时不够复杂，远程攻击者可以利用这个漏洞进行IP欺骗或者数据插入当前连接攻击。 Symantec Enterprise Firewall是企业级防火墙，提供对所有TCP/IP堆栈层的保护。防火墙的应用层协议检查技术针对新的代理连接通过随机TCP初始序列号可以防止会话欺骗和劫持。但是包含的一个优化功能的安全模块在处理来自同一源IP和TCP端口某一段时间内的连接重复使用了ISN序列号，在这段时间，攻击者可以从合法IP中捕获早期会话的初始TCP握手，伪造从一个合法IP地址发起的连接或者在合法连接中插入数据等攻击。
测试方法：	无
解决方法：	临时解决方法：如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * 暂时没有合适的临时解决方法。厂商补丁： Symantec -------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： Symantec Gateway Security 5110 : Symantec Gateway Security 5200 : Symantec Upgrade vpn-sgs10-3des.zip ftp://ftp.symantec.com/public/updates/vpn-sgs10-3des.zip Symantec Gateway Security 5300 : Symantec Upgrade vpn-sgs10-3des.zip ftp://ftp.symantec.com/public/updates/vpn-sgs10-3des.zip Symantec VelociRaptor 1.0: Symantec VelociRaptor 1.1: Symantec Upgrade vpn-vr1-3des.zip ftp://ftp.symantec.com/public/updates/vpn-vr1-3des.zip Symantec VelociRaptor 1.5: Symantec Upgrade vpn-vr15-3des.zip ftp://ftp.symantec.com/public/updates/vpn-vr15-3des.zip Symantec Raptor Firewall 6.5 Windows NT: Symantec Upgrade vpn-650-3des.zip ftp://ftp.symantec.com/public/updates/vpn-650-3des.zip Symantec Enterprise Firewall 6.5.2 NT/2000: Symantec Raptor Firewall 6.5.3 Solaris: Symantec Upgrade vpn-653-3des.tar ftp://ftp.symantec.com/public/updates/vpn-653-3des.tar Symantec Enterprise Firewall 7.0 Solaris: Symantec Upgrade vpn-70s-3des.tar ftp://ftp.symantec.com/public/updates/vpn-70s-3des.tar Symantec Enterprise Firewall 7.0 NT/2000: Symantec Upgrade vpn-70w-3des.zip ftp://ftp.symantec.com/public/updates/vpn-70w-3des.zip

多个Symantec产品初始化TCP序列号不够强壮漏洞