Risque
- Déni de service ;
- Risque de compromission avec les droits de l'utilisateur (généralement root).
Systèmes affectés
Distributions Linux suivantes :
- Mandrake ;
- Debian ;
- SuSE ;
- Red Hat ;
- Gentoo ;
- Trustix ;
- OpenPKG ;
- Turbolinux.
Résumé
Diverses failles concernant l'interprétation de certains protocoles par tcpdump ont été identifiées.
Description
Des paquets correspondants aux protocoles BGP (« Border Gateway Protocol »), ISAKMP (« Internet Security Association and Key Management Protocol ») ou RADIUS (authentification), spécifiquement falsifiés, peuvent bloquer tcpdump et empêcher son utilisateur de voir le trafic réseau.
Par ailleurs, un débordement de mémoire dans la gestion du protocole NFS (« Network File System ») serait exploitable pour s'emparer de l'hôte éxécutant tcpdump.
Solution
Mettre à jour en suivant les recommandations de l'éditeur :
- Mandrake
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:027
- Debian
http://www.debian.org/security/2003/dsa-261
- SuSE
http://www.suse.com/de/security/2003_015_tcpdump.html
- RedHat
http://rhn.redhat.com/errata/RHSA-2003-085.html
- Gentoo
http://forums.gentoo.org/viewtopic.php?t=39378
- Trustix
http://www.trustix.net/errata/misc/2003/TSL-2003-0012-tcpdump.asc.txt
- OpenPKG
http://www.openpkg.org/security/OpenPKG-SA-2003.014-tcpdump.html
- Turbolinux
http://www.turbolinux.com/security/TLSA-2003-14.txt
Documentation
- Avis 02.27.03 d'iDEFENSE :
http://www.idefense.com/application/poi/display?id=19
- Références CVE liées au décodage du protocole RADIUS CAN-2003-0093 et CAN-2003-0145 :
https://www.cve.org/CVERecord?id=CAN-2003-0093
https://www.cve.org/CVERecord?id=CAN-2003-0145
- Référence CVE sur les paquets ISAKMP CAN-2003-0108 :
https://www.cve.org/CVERecord?id=CAN-2003-0108
