Risque

  • Divulgation d'informations sur la topologie du réseau

Systèmes affectés

Versions iptables antérieures à la version 1.2.6a.

Résumé

Une vulnérabilité présente dans l'implémentation de iptables permet à un utilisateur mal intentionné de retrouver la topologie d'un réseau local si la traduction d'adresses est utilisée.

Description

iptables est un des composants utilisés pour le filtrage des paquets réseau sur les noyaux Linux supérieurs à la version 2.4.x. Ce garde barrière permet également d'effectuer de la traduction d'adresses (NAT) vers un réseau local.

Un utilisateur mal intentionné peut, par le biais de paquets malicieusement construits, provoquer des messages d'erreurs ICMP. Ces messages d'erreurs peuvent contenir les adresses IP des machines du réseau interne, accompagnées des ports en écoute sur ces machines.

Contournement provisoire

Il n'existe pas de correctif disponible pour le moment, cependant il est possible de contourner le problème en appliquant la règle de filtrage suivante :

iptables -A OUTPUT -m state -p icmp -state INVALID -j DROP

Documentation