【新聞】Windows DNS漏洞補丁誤殺防火牆



贊助商連結


vicacheung
2008-07-12, 11:24 AM
據國外媒體Beatnews報導,為了修復全球互聯網DNS漏洞微軟近日發佈了一個關鍵補丁,不過該補丁會影響軟體防火牆的某些功能。

據Beatnews稱,近日已經有多名用戶報告,在安裝了微軟的KB951748補丁後,系統無法再與互聯網通信。該補丁在作業系統處理DNS請求方面做出了重大修改。特別值得一提的是,它實現了一個支持隨機選擇源埠的系統,利用這個安全措施來阻擋惡意用戶偽造錯誤的DNS回應,以防止它們攻擊DNS伺服器。

最近曝出的互聯網DNS漏洞影響非常廣泛,不僅僅影響Windows,Linux同樣也不能倖免,而且像路由器和其他網路設備也同樣受該漏洞影響。儘管多家廠商已經聯合為此發佈了安全補丁,但是明顯由於在軟體廠商之間缺乏溝通,該補丁帶來一些負面的影響,當安裝了該補丁後,某些軟體防火牆會被禁用或關閉。

根據BetaNews的測試,其在一個虛擬機上安裝了Windows XP Professional SP3作業系統,並在上面安裝了防火牆ZoneAlarm最新的商業版(版本號為7.0.470),最初互聯網連接非常正常。然後通過Windows更新安裝了KB951748補丁,安裝完成後重新啟動了該虛擬機,然後無論是流覽器還是互聯網工具都再無法連接到互聯網上。甚至在虛擬系統的命令行中Ping命令也無法正常使用。
不過,在虛擬系統和其他本地網路中其他物理系統之間的連接並不受該補丁的影響。

修復這個問題也並不麻煩,在將ZonAlarm Pro的默認互聯網區域安全設置從高改為中後,用戶就可以通過Web流覽器中重新恢復與互聯網的連接。但是命令行中的Ping依然無法使用,每次返回的結果都是超時(time out)。

來自ZoneAlarm線上論壇上的用戶也報告了這種現象,其中包括兩名系統管理員,他們在卸載了微軟的這個補丁後,恢復了他們系統的網路正常連接,但是網路恢復正常後,自動更新又自動重新安裝了這個補丁。其中已經用戶表示,這個問題很多客戶已經碰到,是一個普遍存在的問題,而非個案情況。

ZoneAlarm的父公司CheckPoint軟體公司近日發佈了一個公告稱,該公司的產品已經提供了對任何DNS問題的防護,並建議它的企業客戶暫時不要立即部署這一補丁。

贊助商連結


no1adsl
2008-07-12, 01:37 PM
.................................恕刪.................................
根據BetaNews的測試,其在一個虛擬機上安裝了Windows XP Professional SP3作業系統,並在上面安裝了防火牆ZoneAlarm最新的商業版(版本號為7.0.470),最初互聯網連接非常正常。然後通過Windows更新安裝了KB951748補丁,安裝完成後重新啟動了該虛擬機,然後無論是流覽器還是互聯網工具都再無法連接到互聯網上。甚至在虛擬系統的命令行中Ping命令也無法正常使用。
.................................恕刪.................................



我記得好像是發生在 台灣時間7/9(三)晚上 (還是7/10(四)凌晨)吧
家中其中一台電腦有裝7版本的ZA

關機自動更新完微軟KB951748安全性更新後,隔天開機就連不上網路了
但是跟報導中說的不一樣,ICMP 8 和 0 皆正常 (可能報導是PING網域 需要正解 所以才會出包)
只是碰到DNS解析就掛掉了

後來發現到是防火牆的關係(Internet Security 調到 中 或是 把ZA關閉 就可以上網)
上了ZA的官方論壇,發現到公告解決的方法
1. 下載 7.0.483.0 新版本
2. 移除KB951748


這事件還滿烏龍...
算是ZA自己有問題,還是M$不小心封殺到了ZA? :fd:

在下迪奧斯
2008-07-12, 01:47 PM
只有ZA有這種狀況嗎~?
小的家裡有一台電腦是用古早的look 'n' stop
昨天更新完patch後重開機,就有人在叫無法上網了
搞很久後才發現,防火牆把連外的連線都擋了下來...@@
把look 'n' stop移掉後,改裝comodo,就可以上網了。
不過更新前後,完全沒變動防火牆的設定,所以應該可以確定是微軟的更新搞的鬼吧..@@