{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me linux avec un des noyaux suivants:</P>  <UL>    <LI>kernel 2.4.3 ;</LI>    <LI>kernel 2.4.2 ;</LI>    <LI>kernel 2.4.1 ;</LI>    <LI>kernel 2.4.0-test1 ;</LI>    <LI>kernel 2.4.</LI>  </UL>","content":"## Description\n\nAvec IPTables, une r\u00e8gle de filtrage utilisant le mot clef \u00ab related \u00bb\ns'appliquera \u00e0 un paquet initialisant une nouvelle connexion qui est en\nrelation avec une connexion existante.\n\nLe module ip_conntrack_ftp est charg\u00e9 d'ajouter les connexions FTP\nd\u00e9finies par les commandes PORT et PASV \u00e0 la table des connexions\nautoris\u00e9es.\n\nLe module ip_conntrack_ftp n'analysant pas correctement les param\u00e8tres\nde la commande PORT, un attaquant peut envoyer des paquets FTP \u00e0 un\nserveur (\u00e0 travers le pare-feu) en utilisant des adresses ip et ports\ntcp arbitraires afin d'ouvrir des trous dans le filtrage du pare-feu\n(ouvrir des ports normalement ferm\u00e9s conform\u00e9ment \u00e0 la politique de\ns\u00e9curit\u00e9 en vigueur sur le site prot\u00e9g\u00e9 par le pare-feu).\n\n## Contournement provisoire\n\nNe pas utiliser les connexions FTP \u00ab related \u00bb.\n\n## Solution\n\n-   Un correctif est disponible :\n\n        http://netfilter.samba.org/security-fix/ftp-security2.patch\n\n-   RedHat 7.1 est livr\u00e9e avec le module ip_conntrack_ftp incrimin\u00e9 mais\n    n'utilise pas par d\u00e9faut IPTables.\n\n        http://www.redhat.com/support/errata/RHSA-2001-052.html\n","cves":[],"links":[],"reference":"CERTA-2001-AVI-047","revisions":[{"description":"version initiale.","revision_date":"2001-04-27T00:00:00.000000"}],"risks":[{"description":"Contournement des r\u00e8gles de filtrage de iptables"}],"summary":"IPTables est un des composants utilis\u00e9 pour le filtrage des paquets\nr\u00e9seaux.\n\nUne erreur dans l'impl\u00e9mentation de IPTables permet \u00e0 un attaquant de\ncontourner les r\u00e8gles de filtrage mises en oeuvre par un pare-feu\nutilisant IPTables.\n\nCe contournement est possible dans le cas de connexions FTP marqu\u00e9es \u00ab\nrelated \u00bb.\n","title":"Vuln\u00e9rabilit\u00e9 dans IPTables sous linux 2.4","vendor_advisories":[{"published_at":null,"title":"RHSA-2001:052-02","url":"http://www.redhat.com/support/errata/RHSA-2001-052.html"}]}