S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 juillet 2005
N° CERTA-2005-AVI-240
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités FreeBSD (ipfw)

Gestion du document

Référence CERTA-2005-AVI-240
Titre Vulnérabilités FreeBSD (ipfw)
Date de la première version01 juillet 2005
Date de la dernière version01 juillet 2005
Source(s) Mise à jour de sécurité de l'éditeur du 29 juin 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Mauvaise application des règles de filtrage

Systèmes affectés

FreeBSD dans sa version 5.4 sur les architectures multi-processeurs (Symetric Multi-Processor : SMP) ou bien sur les architectures mono-processeur (Uni Processor : UP) avec l'option noyau préemptif (PREEMPTION kernel).

Résumé

ipfw(8) est un des systèmes de filtrage installé nativement dans FreeBSD. Il permet le filtrage de paquets IP, leur redirection ainsi que la gestion du traffic. La commande ipfw lookup tables permet de spécifier efficacement de nombreuses adresses IP qui pourront être exploitées lors du contrôle de paquets.

Description

La vulnérabilité permet à un utilisateur malveillant de modifier une adresse IP mise en cache. Ainsi, un paquet pourrait être traité contrairement aux règles de filtrage définies dans la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
En attendant l'application des directives de l'éditeur, il est possible de se protéger en interdisant l'usage de la commande lookup tables.

Documentation

Gestion détaillée du document

    le 01 juillet 2005
    version initiale.