L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Noyau Linux : déni de service via IGMP

Synthèse de la vulnérabilité 

Un attaquant peut envoyer plusieurs paquets IGMP, afin de stopper le noyau Linux.
Systèmes vulnérables : Linux, openSUSE, RHEL, StoneGate Firewall, StoneGate SSL VPN, ESX.
Gravité de cette menace : 2/4.
Date de création : 10/01/2012.
Références de cette faille : 77853, BID-51343, CERTA-2012-AVI-479, CVE-2012-0207, ESX400-201209001, ESX400-201209401-SG, ESX400-201209402-SG, ESX400-201209404-SG, ESX410-201208101-SG, ESX410-201208102-SG, ESX410-201208103-SG, ESX410-201208104-SG, ESX410-201208105-SG, ESX410-201208106-SG, ESX410-201208107-SG, openSUSE-SU-2012:0799-1, openSUSE-SU-2012:1439-1, RHSA-2012:0107-01, RHSA-2012:0168-01, RHSA-2012:0333-01, RHSA-2012:0350-01, RHSA-2012:0422-01, VIGILANCE-VUL-11264, VMSA-2012-0003.1, VMSA-2012-0005.2, VMSA-2012-0005.3, VMSA-2012-0008.1, VMSA-2012-0013, VMSA-2012-0013.1.

Description de la vulnérabilité 

Le protocole IGMP (Internet Group Management Protocol) est utilisé pour définir les groupes multicast. Il y a trois versions :
 - IGMP v1 : RFC 1112
 - IGMP v2 : RFC 2236
 - IGMP v3 : RFC 3376

Les routeurs (Querier) envoient périodiquement des paquets Membership Query pour demander quels sont les groupes présents sur le réseau. Les clients ont une durée maximale pour répondre :
 - IGMP v1 : 10 secondes
 - IGMP v2 : indiqué dans le champ MaxRespTime de la requête
 - IGMP v3 : idem, mais avec un encodage différent

Le noyau Linux mémorise la version des Queriers présents sur le réseau. Ainsi, si une requête IGMP v3 est reçue, mais que des routeurs IGMP v2 sont présents, le noyau adapte son comportement.

La fonction igmp_heard_query() du noyau Linux traite les requêtes reçues, et démarre un Timer afin de répondre de manière échelonnée (si aucun autre client n'a répondu). La durée du Timer dépend de la version d'IGMP. Lorsqu'une requête IGMP v3 est reçue, et que des routeurs IGMP v2 sont présents, le noyau emploie le champ MaxRespTime. Cependant, si ce champ vaut zéro, une division (modulo) par zéro se produit.

Un attaquant peut donc envoyer plusieurs paquets IGMP, afin de stopper le noyau Linux.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de vulnérabilité informatique concerne les logiciels ou systèmes comme Linux, openSUSE, RHEL, StoneGate Firewall, StoneGate SSL VPN, ESX.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette menace cybersécurité.

Solutions pour cette menace 

Noyau Linux : version 3.2.1.
La version 3.2.1 est corrigée :
  http://www.kernel.org/pub/linux/kernel/v3.0/

Noyau Linux : version 3.1.9.
La version 3.1.9 est corrigée :
  http://www.kernel.org/pub/linux/kernel/v3.0/

Noyau Linux : version 3.0.17.
La version 3.0.17 est corrigée :
  http://www.kernel.org/pub/linux/kernel/v3.0/

Noyau Linux : patch pour IGMP.
Un patch est disponible dans les sources d'information.

Stonesoft StoneGate Firewall/VPN : version 5.3.4.
La version 5.3.4 est corrigée :
  http://www.stonesoft.com/

openSUSE 11.4 : nouveaux paquetages kernel (05/11/2012).
De nouveaux paquetages sont disponibles :
  kernel-2.6.37.6-24.1

openSUSE 11.4 : nouveaux paquetages kernel (28/06/2012).
De nouveaux paquetages sont disponibles :
  kernel-2.6.37.6-0.20.1

RHEL 5 : nouveaux paquetages kernel.
De nouveaux paquetages sont disponibles :
  kernel-2.6.18-274.18.1.el5

RHEL 5 RHEV : nouveaux paquetages rhev-hypervisor5.
De nouveaux paquetages sont disponibles :
  RHEV Hypervisor for RHEL-5:
    rhev-hypervisor5-5.8-20120202.0.el5

RHEL 6 MRG : nouveaux paquetages kernel-rt.
De nouveaux paquetages sont disponibles :
MRG Realtime for RHEL 6 Server v.2:
  kernel-rt-3.0.18-rt34.53.el6rt

RHEL 6 : nouveaux paquetages kernel.
De nouveaux paquetages sont disponibles :
  kernel-2.6.32-220.7.1.el6

RHEL 6 RHEV : nouveaux paquetages rhev-hypervisor6.
De nouveaux paquetages sont disponibles :
  rhev-hypervisor6-6.2-20120320.0.el6_2

VMware ESX 4.0 : patch ESX400-201209001.
Un patch est disponible :
  ESX400-201209001
  http://kb.vmware.com/kb/2019661

VMware ESX : version 4.1 Update 3.
La version 4.1 Update 3 est corrigée :
  http://kb.vmware.com/kb/2020362
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une veille de vulnérabilités applicatives. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.