L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Ralentissement de flux avec PMTU actif

Synthèse de la vulnérabilité 

Lorsqu'une machine dispose de PMTU actif, un attaquant peut ralentir le flux en provenance de celle-ci.
Logiciels vulnérables : IP (protocole).
Gravité de cette annonce : 1/4.
Date de création : 16/01/2001.
Dates de révisions : 17/01/2001, 05/02/2001.
Références de cette vulnérabilité informatique : V6-IPPMTULOWDOS, VIGILANCE-VUL-1321.

Description de la vulnérabilité 

Le protocole PMTU (Path MTU) permet de connaître le minimum des MTU (Maximum Transmission Unit : taille maximale d'une trame) pouvant transiter à destination d'une machine ou d'un réseau distant (sans que le paquet soit fragmenté). La connaissance du MTU minimal permet d'optimiser le flux car :
 - si l'on envoie un paquet supérieur à cette taille, il est coupé en deux
 - si l'on envoie un paquet inférieur à cette taille, la bande passante n'est pas optimisée.

Le protocole PMTU permet donc de trouver la valeur optimale à employer.

Cependant, si un attaquant émet des paquets usurpés (spoofés) en provenance d'une machine n'ayant jamais communiqué avec le serveur, il peut forcer ce protocole à choisir de très petits MTU.
En effet :
 - l'attaquant envoie un paquet spoofé à destination du serveur, et contenant un ICMP echo request (ping)
 - le serveur retourne un ICMP echo reply à l'adresse spoofée
 - l'attaquant envoie un paquet spoofé à destination du serveur, et contenant un ICMP "fragmentation needed but DontFrag set", indiquant que le paquet echo reply n'a pas pu atteindre le destinataire
 - le serveur, recevant alors cette erreur, affecte un très faible MTU à l'adresse spoofée
En itérant cette attaque avec de nombreuses adresses spoofées choisies judicieusement, un attaquant peut forcer le serveur à employer un faible MTU.

Cette vulnérabilité peut donc permettre à un attaquant de réduire le débit d'un serveur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de faille informatique concerne les logiciels ou systèmes comme IP (protocole).

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est faible.

Le niveau de confiance est de type sources contradictoires, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité cyber-sécurité.

Solutions pour cette menace 

Solution pour Ralentissement de flux avec PMTU actif.
Une contre-mesure peut consister à bloquer les paquets ICMP "fragmentation needed but DF set" (type3, code4) au niveau du dispositif filtrant d'entrée.
Une autre solution peut consister à désactiver PTMU sur toutes les machines. Par exemple, sous Linux :
  echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc
Un module noyau signant les paquets ICMP est proposé.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité de réseau. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.