L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Déni de service d'ipfilter à cause de l'option fastroute

Synthèse de la vulnérabilité 

En réalisant un traceroute vers un firewall ayant l'option fastroute active, un attaquant peut mener un déni de service sur celui-ci.
Systèmes impactés : IP Filter.
Gravité de cette alerte : 2/4.
Date de création : 09/11/2001.
Références de cette alerte : V6-UNIXIPFILTERTRACERTCRASH, VIGILANCE-VUL-1997.

Description de la vulnérabilité 

Le logiciel IPFilter permet de transformer une machine en firewall. Pour chaque interface de la machine, l'utilisateur peut spécifier des règles de filtrage de paquets TCP/UDP/ICMP/IP/etc.

L'outil traceroute permet d'établir le chemin empruntés par des paquets. Pour cela, lorsque le mode UDP est employé, traceroute envoie des paquets dont :
 - le TTL est incrémenté (sa valeur maximale est 255)
 - le port destination est incrémenté à partir de 33434

Les règles de base permettent de bloquer (block) ou d'autoriser (pass) des flux entrant d'une interface vers une autre.
L'option "fastroute" permet de ne pas passer un paquet reçu à la pile IP du système et celui-ci est alors envoyé sur l'interface de sortie par ipfilter lui-même empéchant ainsi une diminution du TTL. La durée de vie de ce paquet ne sera ainsi pas diminuée lors du passage dans le firewall.

Lorsqu'une des règles d'IPFilter emploie :
 - l'option fastroute, et
 - autorise les flux UDP de type traceroute,
alors, la réception d'un paquet traceroute stoppe le firewall. Actuellement, la cause de cette vulnérabilité semble être liée à l'option fastroute.

Par le biais de cette vulnérabilité, un attaquant distant peut, en réalisant un traceroute sur le firewall, provoquer son arrêt dans le but de mener un déni de service de celui-ci.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace cyber-sécurité concerne les logiciels ou systèmes comme IP Filter.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité est moyen.

Le niveau de confiance est de type sources contradictoires, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de vulnérabilité.

Solutions pour cette menace 

Solution temporaire.
En attendant la disponibilité d'un patch, il est conseillé de désactiver les règles pouvant provoquer un tel arrêt du système :
 - désactiver fastroute, ou
 - interdire les flux UDP (cette règle est délicate à mettre en place)
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de logiciel. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.