L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IP (protocole)

bulletin de vulnérabilité informatique CVE-2016-10142

IPv6 : déni de service via Packet Too Big et Fragmentation

Synthèse de la vulnérabilité

Produits concernés : BIG-IP Hardware, TMOS, Juniper J-Series, Junos OS, SRX-Series, Linux, IP (protocole), Pulse Connect Secure, RHEL.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/03/2017.
Références : 1415908, CERTFR-2017-AVI-111, CVE-2016-10142, JSA10780, K46535047, K57211290, RHSA-2017:0817-01, SA43730, VIGILANCE-VUL-22208.

Description de la vulnérabilité

Un attaquant peut utiliser ICMP Packet Too Big pour forcer la génération de fragments IPv6, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 15228

IPv6 : déni de service via Filtered Extension Headers

Synthèse de la vulnérabilité

Un attaquant peut envoyer un paquet ICMPv6 usurpé vers une implémentation de IPv6 filtrant les entêtes d'extension, afin de mener un déni de service.
Produits concernés : IP (protocole).
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : client internet.
Confiance : sources multiples (3/5).
Date création : 26/08/2014.
Références : draft-gont-v6ops-ipv6-ehs-in-real-world-00, VIGILANCE-VUL-15228.

Description de la vulnérabilité

Les entêtes IPv6 d'extension, et notamment l'entête Fragment, sont parfois filtrés par les administrateurs.

Cependant, dans ce cas, un attaquant peut envoyer un paquet d'erreur ICMPv6 usurpé "Packet too big", pour forcer la fragmentation, qui est alors bloquée.

Un attaquant peut donc envoyer un paquet ICMPv6 usurpé vers une implémentation de IPv6 filtrant les entêtes d'extension, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2012-4444

IPv6 : implémentation incorrecte de Fragment Overlap

Synthèse de la vulnérabilité

Certaines implémentations d'IPv6 ne respectent pas la RFC 5722, ce qui permet à un attaquant de détecter le système (fingerprint), ou de contourner un IDS.
Produits concernés : Linux, Windows 7, OpenBSD, IP (protocole), RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/11/2012.
Références : BID-56891, CVE-2012-4444, RHSA-2012:1580-01, RHSA-2013:0168-01, SUSE-SU-2013:0856-1, VIGILANCE-VUL-12124.

Description de la vulnérabilité

La RFC 2460 définit IPv6. Cette RFC n'interdisait pas les fragments IPv6 qui se chevauchent. La RFC 5722 définit clairement que ces fragments doivent être ignorés.

Cependant, toutes les implémentations d'IPv6 ne respectent pas la RFC 5722. Ces implémentations ont alors des comportements différents.

Certaines implémentations d'IPv6 ne respectent donc pas la RFC 5722, ce qui permet à un attaquant de détecter le système (fingerprint), ou de contourner un IDS.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2007-2242

IPv6 : vulnérabilités de IPv6 Routing Header

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets IPv6 afin de mener un déni de service ou d'obtenir des informations.
Produits concernés : IOS par Cisco, Cisco Router, Fedora, FreeBSD, Juniper J-Series, Junos OS, Linux, Mandriva Corporate, Mandriva Linux, Mandriva NF, NetBSD, netfilter, OpenBSD, openSUSE, IP (protocole), RHEL, SLES.
Gravité : 3/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/04/2007.
Références : BID-23615, CERTA-2007-AVI-389, CVE-2007-2242, FEDORA-2007-482, FEDORA-2007-483, FreeBSD-SA-07:03.ipv6, MDKSA-2007:171, MDKSA-2007:196, MDKSA-2007:216, NetBSD-SA2007-005, RHSA-2007:0347-01, SUSE-SA:2007:051, SUSE-SA:2008:006, VIGILANCE-VUL-6761, VU#267289.

Description de la vulnérabilité

Le protocole IPv6 définit des entêtes optionnels : Hop-by-Hop, Routing, Fragment, etc. L'entête Routing peut avoir plusieurs types :
 - 0 : source route (RFC 2460)
 - 1 : Nimrod
 - 2 : mobilité (RFC 3775)
Le type 0 permet de préciser les routeurs à traverser, ce qui conduit à plusieurs types de vulnérabilités.

En envoyant des paquets avec un Hop Limit (TTL) trop court (comme traceroute) et en spécifiant des routeurs parallèles, un attaquant peut découvrir la topologie du réseau ciblé. [grav:3/4]

Un attaquant peut rebondir sur le réseau interne, si le firewall ne filtre pas correctement les entêtes Routing. [grav:3/4]

Un attaquant peut créer un paquet indiquant de traverser :
 - routeur 1, puis
 - routeur 2, puis
 - routeur 1, puis
 - routeur 2, puis
 - etc. (boucle d'une vingtaine d'allers-retours)
Ce paquet transite alors inutilement de nombreuses fois sur le réseau, ce qui provoque un déni de service. [grav:3/4]

Le déni de service précédent peut être amplifié en utilisant les relais IPv4-IPv6, car la traversée de routeurs IPv6-IPv4-IPv4-...-IPv4-IPv6 décrémente le TTL IPv4 N fois, alors que le Hop Limit de IPv6 n'est décréménté qu'une seule fois. [grav:3/4]

Une boucle entre deux routeurs peut être assimilée à une capacité électronique, car elle retarde la réception du paquet par la machine finale. Un attaquant peut donc :
 - envoyer 1000 paquets SYN avec un "retard" de 500ms
 - envoyer 1000 paquets SYN avec un retard de 400ms
 - envoyer 1000 paquets SYN avec un retard de 300ms
 - envoyer 1000 paquets SYN avec un retard de 200ms
 - envoyer 1000 paquets SYN avec un retard de 100ms
 - envoyer 1000 paquets SYN sans retard
La machine cible recevra donc 6000 paquets en 100ms, alors que la capacité d'émission de l'attaquant n'est que de 1000 paquets en 100ms. [grav:3/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-1242

Linux, IOS : utilisation de la machine pour un idle scan

Synthèse de la vulnérabilité

Un attaquant peut utiliser la machine pour mener un idle scan sur une autre machine.
Produits concernés : IOS par Cisco, Cisco Router, Debian, Linux, Mandriva Corporate, Mandriva Linux, Mandriva NF, openSUSE, IP (protocole), TCP (protocole), RHEL.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/03/2006.
Date révision : 28/03/2006.
Références : BID-17109, CERTA-2002-AVI-035, CVE-2006-1242, DSA-1097-1, DSA-1103-1, MDKSA-2006:086, MDKSA-2006:116, RHSA-2006:043, RHSA-2006:0437-01, RHSA-2006:057, RHSA-2006:0575-01, SUSE-SA:2006:028, VIGILANCE-VUL-5686.

Description de la vulnérabilité

Le champ id de l'entête IP est utilisé pour réassembler les paquets fragmentés.

Le principe d'un idle scan est d'utiliser une machine intermédiaire (I) pour effectuer un scan de port sur une autre machine (C). Seules les machines intermédiaires dont le champ id est incrémenté à chaque paquet émis peuvent être employées pour mener cette attaque :
 - l'attaquant A envoie un paquet TCP SYN-ACK vers I
 - I retourne un paquet RST vers l'attaquant, ce dernier note la valeur du champ id de l'entête IP (par exemple 1234)
 - A envoie un paquet SYN avec une source usurpée valant I vers C
 - C retourne :
     + un paquet SYN-ACK vers I si le port est ouvert (I retourne alors un paquet RST vers C, dont le champ id vaut 1235)
     + un paquet RST vers I si le port est fermé (I ne retourne rien, donc le compteur id n'est pas incrémenté)
 - A effectue de nouveau les 2 premières opérations, et note la nouvelle valeur du champ id
Ainsi, le champ id vaut :
 - 1236 si le port est ouvert
 - 1235 si le port est fermé

Cette vulnérabilité a notamment été corrigée dans Linux 2.4.8, afin que le système ne puisse pas être employé comme machine intermédiaire. Cependant, une erreur de régression a ré-introduit cette vulnérabilité.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2005-0039

IPSec : déchiffrement de paquets

Synthèse de la vulnérabilité

Sous certaines conditions, un attaquant peut déchiffrer le contenu de certains paquets IPSec.
Produits concernés : Tru64 UNIX, HP-UX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, IP (protocole).
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/05/2005.
Dates révisions : 19/05/2005, 10/08/2005.
Références : 004033, BID-13562, c00572922, CERTA-2005-AVI-312, CVE-2005-0039, HP01217, HPSBUX02079, PSN-2005-05-010, SSRT5957, V6-IPSECESPNOAHICMP, VIGILANCE-VUL-4956, VU#302220.

Description de la vulnérabilité

Le protocole IPSec permet de chiffrer et d'authentifier les flux. Ce protocole utilise des entêtes intégrés dans les paquets IP :
 - AH (Authentication Header) : protection d'intégrité
 - ESP (Encapsulating Security Payload) : protection de confidentialité (chiffrement)

Il existe plusieurs modes de fonctionnement :
 a- AH en mode transport : l'entête AH est situé entre l'entête IP d'origine et les données d'origine
 b- AH en mode tunnel : l'entête AH est situé entre un nouvel entête IP et le paquet IP d'origine
 c- ESP en mode transport : l'entête ESP est situé entre l'entête IP d'origine et les données d'origine chiffrées
 d- ESP en mode tunnel : l'entête ESP est situé entre un nouvel entête IP et le paquet IP d'origine chiffré
 e- AH+ESP en mode transport : les entêtes AH et ESP sont situés entre l'entête IP d'origine et les données d'origine chiffrées
 f- AH+ESP en mode tunnel : les entêtes AH et ESP sont situés entre un nouvel entête IP et le paquet IP d'origine chiffré
 g- ESP tunnel + AH transport : l'entête ESP est situé entre un nouvel entête IP et le paquet "entêteIP + AH + données d'origine" chiffré

Une vulnérabilité concerne les cas d et g. En effet, avec un chiffrement CBC, un attaquant peut modifier des paquets sans que la passerelle IPSec le détecte. Le principe de l'attaque est :
 - l'attaquant a intercepté des paquets IPSec qu'il souhaite déchiffrer
 - l'attaquant modifie certains bits (bit-flipping), puis envoie les paquets à la passerelle
 - la passerelle les déchiffre. Les paquets sont presque corrects, excepté que l'adresse IP, le protocole, ou les options IP sont différents.
 - la passerelle détecte cette erreur et retourne un message ICMP à l'expéditeur.
Le message ICMP contient le paquet (le début du paquet) déchiffré. Ce paquet est presque correct, mais l'attaquant connaît les champs qu'il a modifiés, et peut donc déterminer le paquet d'origine.

Un attaquant peut ainsi déchiffrer des paquets IPSec qu'il a intercepté.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2004-0744

Déni de service à l'aide de données fragmentées, New Dawn attack

Synthèse de la vulnérabilité

Un attaquant peut utiliser des paquets fragmentés dans le but de mener un déni de service.
Produits concernés : HP-UX, Windows 2000, IP (protocole).
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/09/2004.
Date révision : 27/09/2004.
Références : BID-11258, c00579189, CERTA-2005-AVI-505, CVE-2004-0744, emr_na-c00579189-5, HPSBUX02087, SSRT4728, V6-IPFRAGROSE2DOS, VIGILANCE-VUL-4404.

Description de la vulnérabilité

Lorsqu'un paquet IP a une taille supérieure au MTU, il est fragmenté. Plusieurs paquets sont alors envoyés :
 - paquet 1 : MoreFrag=vrai et offset=0
 - paquet 2 : MoreFrag=vrai et offset=(taille_de_paquet1)/8
 - etc.
 - dernier paquet : MoreFrag=faux et offset=(taille_totale_envoyée)/8

La pile IP destinatrice stocke les fragments. Lorsque tous les fragments ont été reçus, les données sont passées à la couche supérieure.
 
Cependant, un attaquant peut envoyer quelques uns des fragments, puis envoyer de manière répétitive le dernier fragment. Pour chaque traitement du dernier fragment, certaines implémentations re-parcourent la liste des fragments précédents.

Cette vulnérabilité permet ainsi à un attaquant distant de surcharger le processeur, afin de mener un déni de service.

Il faut noter qu'un attaquant peut usurper (spoof) les adresses IP sources et que cette attaque fonctionne même si la machine n'a aucun service TCP ou UDP ouvert (sauf si un firewall bloque les paquets destinés aux ports fermés).
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 4089

Déni de service à l'aide de données fragmentées, Rose Attack

Synthèse de la vulnérabilité

Un attaquant peut utiliser des sessions de deux fragments dans le but de mener un déni de service.
Produits concernés : ASA, Windows 2000, Windows 98, IP (protocole), Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : serveur internet.
Confiance : sources multiples (3/5).
Date création : 01/04/2004.
Dates révisions : 02/04/2004, 08/04/2004, 09/04/2004, 13/04/2004, 28/04/2004.
Références : V6-IPFRAGROSEDOS, VIGILANCE-VUL-4089.

Description de la vulnérabilité

Lorsqu'un paquet IP a une taille supérieure au MTU, il est fragmenté. Plusieurs paquets sont alors envoyés :
 - paquet 1 : MoreFrag=vrai et offset=0
 - paquet 2 : MoreFrag=vrai et offset=(taille_de_paquet1)/8
 - etc.
 - dernier paquet : MoreFrag=faux et offset=(taille_totale_envoyée)/8

La pile IP destinatrice stocke les fragments. Lorsque tous les fragments ont été reçus, les données sont passées à la couche supérieure.

Cependant, un attaquant peut envoyer uniquement le premier et le dernier paquet, et répéter cette opération de nombreuses fois. La machine destinatrice réservera alors de nombreuses ressources pour stocker ces paquets avant qu'un timeout se déclenche.

Selon les implémentations des piles IP, cette vulnérabilité permet de :
 - surcharger le processeur
 - perturber tous les trafics
 - perturber les trafics fragmentés légitimes

Il faut noter qu'un attaquant peut usurper (spoof) les adresses IP sources et que cette attaque fonctionne même si la machine n'a aucun service TCP ou UDP ouvert (sauf si un firewall bloque les paquets destinés aux ports fermés).
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 2875

Erreur de décodage des adresses IPv4 des machines non compatibles

Synthèse de la vulnérabilité

A cause de la complexité des machines ayant une pile IP compatible version 4 et 6, des erreurs d'analyse des adresses IP v4 pourraient conduire à des transitions de flux illicites.
Produits concernés : IP (protocole).
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Confiance : sources multiples (3/5).
Date création : 23/08/2002.
Date révision : 28/08/2002.
Références : BID-5545, V6-IP6IP4DECODE, VIGILANCE-VUL-2875.

Description de la vulnérabilité

Les adresses IP version 6 sont de la forme :
 1111:2222:3333:4444:5555:6666:7777:8888
Ou plus simplement, si plusieurs zéros se suivent :
 ::aaaa:bbbb

Les adresses de machines compatibles IPv4/IPv6 sont représentées sous la forme :
 ::1.2.3.4
Les adresses de machines incompatibles IPv6 sont représentées sous la forme :
 ::ffff:1.2.3.4

Lorsque l'API de gestion des socket reçoit cette adresse, il traite soit :
 - une adresse en IPv4 (AF_INET)
 - une adresse en IPv6 (AF_INET6)
Cependant, l'API en IPv4 ne peut plus détecter si l'adresse est arrivée sur sa pile IP en version 4 ou 6. Par exemple l'adresse ::ffff:127.0.0.1 pourrait être utilisée pour usurper une adresse locale (127.0.0.1).

Ainsi les implémentations complexes de piles et d'API IPv4 et IPv6 pourraient gérer incorrectement les adresses illicites. Cette famille de vulnérabilités permettrait alors à un attaquant du réseau de contourner certaines règles de filtrage.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 2066

Scan de port par prédictibilité d'ID IP

Synthèse de la vulnérabilité

Lorsque l'ID IP est prédictible, un attaquant peut scanner les ports ouverts sur d'autres machines en masquant son adresse d'attaque. Note : cette vulnérabilité date de 1998.
Produits concernés : IP (protocole), IRIX.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/12/2001.
Références : SGI 20011106, SGI20011106-01-A, V6-IPIDINCPORTSCAN, VIGILANCE-VUL-2066.

Description de la vulnérabilité

Le champ ID de l'entête IP sert à réassembler les fragments éventuels crées lors de la transition d'un paquet sur un réseau. Ce champ doit donc posséder une valeur différente pour chaque paquet. En général, l'ID est donc simplement incrémenté d'un paquet à l'autre.

Cependant, dans le cas où :
 - la machine de l'attaquant a pour adresse IP A
 - la machine d'adresse IP B implémente une pile IP dont l'ID est incrémenté (ou facilement prédictible)
 - l'attaquant désire scanner la machine C,
alors le scénario d'attaque suivant peut être emis en place :
 - l'attaquant émet un paquet SYN ayant :
    - comme adresse source : B
    - comme adresse destination : C
 - deux cas peuvent alors se produire :
    - le port est ouvert sur C :
        - C émet un paquet SYN-ACK vers B
        - B répond alors un RST
        - C confirme le RST
    - le port est fermé :
        - C émet un paquet RST vers B
        - B ne répond pas
Ainsi, la machine B émet un nombre différent de paquets, selon l'état du port sur la machine C. Un attaquant peut en déduire si le port est ouvert ou fermé. Il faut noter que ceci ne fonctionne que si B n'est pas amené à répondre aux requêtes d'autres clients durant l'attaque.

Cette vulnérabilité peut donc permettre à un attaquant distant de connaître les ports ouverts sur une machine, sans que celle-ci n'ait reçue un seul paquet en provenance de l'attaquant.

On peut noter que la machine vulnérable n'est pas celle qui est attaquée, mais est la machine qui sert à mener l'attaque.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IP (protocole) :