Risque

  • Contournement des règles de filtrage de iptables

Systèmes affectés

Tout système linux avec un des noyaux suivants:

  • kernel 2.4.3 ;
  • kernel 2.4.2 ;
  • kernel 2.4.1 ;
  • kernel 2.4.0-test1 ;
  • kernel 2.4.

Résumé

IPTables est un des composants utilisé pour le filtrage des paquets réseaux.

Une erreur dans l'implémentation de IPTables permet à un attaquant de contourner les règles de filtrage mises en oeuvre par un pare-feu utilisant IPTables.

Ce contournement est possible dans le cas de connexions FTP marquées « related ».

Description

Avec IPTables, une règle de filtrage utilisant le mot clef « related » s'appliquera à un paquet initialisant une nouvelle connexion qui est en relation avec une connexion existante.

Le module ip_conntrack_ftp est chargé d'ajouter les connexions FTP définies par les commandes PORT et PASV à la table des connexions autorisées.

Le module ip_conntrack_ftp n'analysant pas correctement les paramètres de la commande PORT, un attaquant peut envoyer des paquets FTP à un serveur (à travers le pare-feu) en utilisant des adresses ip et ports tcp arbitraires afin d'ouvrir des trous dans le filtrage du pare-feu (ouvrir des ports normalement fermés conformément à la politique de sécurité en vigueur sur le site protégé par le pare-feu).

Contournement provisoire

Ne pas utiliser les connexions FTP « related ».

Solution

  • Un correctif est disponible :

    http://netfilter.samba.org/security-fix/ftp-security2.patch
    
  • RedHat 7.1 est livrée avec le module ip_conntrack_ftp incriminé mais n'utilise pas par défaut IPTables.

    http://www.redhat.com/support/errata/RHSA-2001-052.html
    

Documentation