Risque

  • Contournement des règles de filtrage de paquets implémentées par ipfilter

Systèmes affectés

  • FreeBSD 4.2 et inférieures
  • HP-UX 11.00 et 11.11
  • NetBSD 1.5 et inférieures
  • OpenBSD 2.8 et inférieures
  • Versions d'Ipfilter 3.4.16 et inférieures

Résumé

Ipfilter est une collection d'outils de filtrage de paquets répandue dans le monde Unix. Une vulnérabilité permet d'accéder aux ports normalement bloqués des hôtes protégés par le pare-feu.

Description

Le cache de gestion des fragments a pour objet de laisser passer les fragments d'un paquet IP correspondant à une session/connexion précédement acceptée par le module de filtrage. Hors, ce cache ne se base que sur l'entête IP, il est alors possible, après avoir initié une connexion autorisée, d'envoyer des fragments vers des ports arbitraires.

Solution

Mettre à jour les sources ou le paquetage, selon les vendeurs :

  • Sources d'Ipfilter :

    ftp://coombs.anu.edu.au/pub/net/ip-filter/
    
  • HP-UX :

    http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B9901AA
    
  • FreeBSD :

    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:32/ipfilter.patch
    
  • NetBSD : se conformer à l'avis cité dans la documentation.

  • OpenBSD 2.8 voir :

    http://www.openbsd.org/errata28.html#ipf_frag
    

Documentation