The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of Packet Filter

computer vulnerability note 3619

Obtention de l'adresse IP et du port employé par une redirection de pf

Synthesis of the vulnerability

Lorsque le firewall pf est configuré pour rediriger des paquets, un attaquant du réseau peut obtenir des informations sur la machine interne contactée.
Impacted products: OpenBSD, PF.
Severity: 1/4.
Creation date: 03/07/2003.
Identifiers: BID-8082, V6-BSDPFRDRIPPORT, VIGILANCE-VUL-3619.

Description of the vulnerability

Le firewall pf (packet filter) filtre et translate les flux réseau.

La commande rdr de pf redirige un flux, et est principalement utilisée pour joindre une machine interne possédant une adresse IP privée. Par exemple :
 - la machine interne I possède l'adresse 192.168.1.1, et un serveur web écoute sur le port 8080
 - le firewall F a comme adresse publique 1.2.3.4 et possède les règles suivantes (simplifiées) :
     rdr from any to 1.2.3.4 port 80 -> 192.168.1.1 port 8080 (tout paquet reçu en 1.2.3.4:80 est redirigé vers 192.168.1.1:8080)
     pass from any to 192.168.1.1 port 8080 (nécessaire pour laisser transiter le flux après la redirection)
 - l'utilisateur d'internet U a comme adresse 5.6.7.8
Dans ce contexte :
 - U envoie un paquet vers F (5.6.7.8:1030 vers 1.2.3.4:80)
 - F redirige et convertit le paquet en "5.6.7.8:1030 vers 192.168.1.1:8080" (règle "rdr")
 - F accepte de laisser passer ce flux grâce à la deuxième règle de type "pass"
 - I reçoit le paquet "5.6.7.8:1030 vers 192.168.1.1:8080"
 - etc.

Ainsi, de par la conception de pf, lorsqu'une règle "rdr" est employée, une règle "pass" doit être associée.

Cependant, un attaquant peut créer un paquet "5.6.7.8:1030 vers 192.168.1.1:8080" qui sera directement accepté par la règle "pass" (on ignore ici les soucis éventuels de routage d'adresse privée pouvant être contournés par l'attaquant à l'aide de source routing par exemple).

Un attaquant peut donc scanner une plage d'adresses internes depuis internet, et ainsi obtenir l'adresse IP et le numéro de port du serveur interne. Cette information lui permet alors d'accroître ses connaissances sur la topologie du réseau.
Complete Vigil@nce bulletin.... (free trial)

computer vulnerability bulletin 3118

Déni de service du pont Ethernet

Synthesis of the vulnerability

Lorsqu'un pont Ethernet est créé à l'aide de packet filter, un attaquant du réseau peut stopper le système.
Impacted products: OpenBSD, PF.
Severity: 1/4.
Creation date: 07/11/2002.
Identifiers: OpenBSD 32-002, V6-OBPFBRIDGEDOS, VIGILANCE-VUL-3118.

Description of the vulnerability

Les ponts Ethernet relient deux parties d'un LAN en apprenant la topologie du réseau à la volée. Pour cela, ils analysent les entêtes Ethernet. Le firewall pf (packet filter) peut être configuré en pont.

Lorsque pf reçoit un paquet, il le décompose avant de le faire transiter sur l'autre LAN. Cependant, si le paquet est trop court (par exemple, si l'entête IP est incomplet) les données sont incorrectement initialisées. Le système se corrompt alors et se stoppe.

Cette vulnérabilité permet donc à un attaquant du réseau de mener un déni de service sur les systèmes configurés en pont Ethernet.
Complete Vigil@nce bulletin.... (free trial)
Our database contains other pages. You can request a free trial to read them.

Display information about Packet Filter: