Risque
- Divulgation d'informations sur la topologie du réseau
Systèmes affectés
Versions iptables antérieures à la version 1.2.6a.
Résumé
Une vulnérabilité présente dans l'implémentation de iptables permet à un utilisateur mal intentionné de retrouver la topologie d'un réseau local si la traduction d'adresses est utilisée.
Description
iptables est un des composants utilisés pour le filtrage des paquets réseau sur les noyaux Linux supérieurs à la version 2.4.x. Ce garde barrière permet également d'effectuer de la traduction d'adresses (NAT) vers un réseau local.
Un utilisateur mal intentionné peut, par le biais de paquets malicieusement construits, provoquer des messages d'erreurs ICMP. Ces messages d'erreurs peuvent contenir les adresses IP des machines du réseau interne, accompagnées des ports en écoute sur ces machines.
Contournement provisoire
Il n'existe pas de correctif disponible pour le moment, cependant il est possible de contourner le problème en appliquant la règle de filtrage suivante :
iptables -A OUTPUT -m state -p icmp -state INVALID -j DROP
Documentation
- Bulletin de sécurité 20020402 de Cartel : http://netfilter.samba.org/security/2002-04-02-icmp-dnat.html
- Bulletin de sécurité MDKSA-2002:030 de Mandrake : http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-030.php
- Bulletin de sécurité RHSA-2002:086 de Redhat : http://rhn.redhat.com/errata/RHSA-2002-086.html