L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Raptor Firewall

alerte de vulnérabilité informatique CVE-2007-4422

Symantec Enterprise Firewall : détection de login valide

Synthèse de la vulnérabilité

Un attaquant peut déterminer si un nom de login d'une authentification de type PSK est valide.
Produits concernés : Raptor Firewall.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/08/2007.
Références : BID-25338, CVE-2007-4422, SYM07-023, VIGILANCE-VUL-7106.

Description de la vulnérabilité

L'accès VPN peut être configuré avec une authentification PSK (Pre-Shared Key). Cette authentification repose sur un couple login/mot de passe.

Lorsque l'authentification échoue, Symantec Enterprise Firewall retourne un message d'erreur différent selon le cas :
 - si le login est invalide, et quel que soit le mot de passe
 - si le login est valide, et le mot de passe est invalide

Un attaquant peut utiliser cette vulnérabilité afin de déterminer des logins à l'aide d'une attaque par dictionnaire ou par brute force.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2007-0447 CVE-2007-3699

Symantec AV, SGS, WS, Norton AV, IS, PF : vulnérabilités de RAR et CAB

Synthèse de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton conduisent à un déni de service ou à l'exécution de code.
Produits concernés : Norton Antivirus, Norton Internet Security, Raptor Firewall, Symantec AV, SEF, SGS, SWS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/07/2007.
Date révision : 13/07/2007.
Références : BID-24282, CVE-2007-0447, CVE-2007-3699, CVE-2007-3801-REJECT, SYM07-019, VIGILANCE-VUL-7004, ZDI-07-039, ZDI-07-040.

Description de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton concernent l'analyse de fichier RAR ou CAB.

Un attaquant peut modifier le champ PACK_SIZE de l'entête d'un fichier RAR afin de créer une boucle infinie lors de l'ouverture du fichier. [grav:3/4; CVE-2007-3699, CVE-2007-3801-REJECT, ZDI-07-039]

Une archive CAB illicite peut créer un débordement conduisant à l'exécution de code. [grav:3/4; CVE-2007-0447, ZDI-07-040]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2004-0790 CVE-2004-0791 CVE-2004-1060

TCP : déni de service à l'aide de paquets ICMP

Synthèse de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets ICMP dans le but d'interrompre une session TCP.
Produits concernés : ASA, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, BIG-IP Hardware, TMOS, Fedora, Tru64 UNIX, HP-UX, AIX, Juniper J-Series, Junos OS, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, OpenBSD, Solaris, Trusted Solaris, TCP (protocole), Raptor Firewall, RHEL, RedHat Linux, SEF, SGS.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2004.
Dates révisions : 26/08/2004, 19/01/2005, 12/04/2005, 13/04/2005, 21/04/2005, 25/04/2005, 26/05/2005, 02/06/2005, 20/06/2005, 28/06/2005, 08/07/2005, 11/07/2005, 19/07/2005, 02/08/2005.
Références : 101658, 2005.05.02, 5084452, 899480, 922819, BID-13124, BID-13215, BID-13367, c00571568, c00576017, CERTA-2005-AVI-023, CERTA-2005-AVI-135, CERTA-2005-AVI-155, CERTA-2006-AVI-444, CISCO20050412a, CVE-2004-0790, CVE-2004-0791, CVE-2004-1060, CVE-2005-0065, CVE-2005-0066, CVE-2005-0067, CVE-2005-0068, CVE-2005-1184, CVE-2005-1192, FLSA:157459-2, FLSA-2006:157459-1, FLSA-2006:157459-2, HP01137, HP01164, HP01210, HPSBTU01210, HPSBUX01137, HPSBUX01164, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, K23440942, MS05-019, MS06-064, OpenBSD 34-027, OpenBSD 35-015, PSN-2004-09-009, RHSA-2005:043, SOL15792, SOL4583, SSRT4743, SSRT4884, SSRT5954, Sun Alert 57746, V6-TCPICMPERROR, VIGILANCE-VUL-4336, VU#222750.

Description de la vulnérabilité

Le protocole ICMPv4 gère les erreurs et informations relatives aux flux IPv4.

Lorsqu'une erreur est détectée par une machine du réseau, celle-ci envoie un paquet ICMPv4 d'erreur (destination unreachable, source quench (saturation), redirect, time exceeded (ttl), parameter problem, etc.). Les données de ce paquet contiennent le début du paquet ayant provoqué l'erreur, plus précisément :
 - l'entête IP du paquet
 - au moins les 64 premiers bits (8 octets) suivant l'entête IP

Les 64 premiers bits permettent de retrouver à quel flux appartient ce paquet. Par exemple, si le paquet erroné est de type TCP, ces 64 bits contiennent :
 - le port source (2 octets)
 - le port destination (2 octets)
 - le numéro de séquence (4 octets)

Lors de la réception d'un paquet ICMP correspondant à une session TCP en cours, la pile IP interrompt la connexion et retourne une erreur à l'application de l'utilisateur.

Cependant, certaines implémentations ne vérifient pas le numéro de séquence. Ainsi, un attaquant, connaissant les adresses IP et le numéro du port du service (22, 25, etc.), doit uniquement deviner le numéro du port du client. L'attaquant a donc une chance sur 65536 (ou moins si les caractéristiques d'assignation de numéro de port sont connues) de générer un paquet ICMP qui sera accepté, et qui interrompra la session.

Les implémentations vérifiant le numéro de séquence sont vulnérables à une attaque similaire à VIGILANCE-VUL-4128. La réussite de cette attaque est alors moins probable.

Cette vulnérabilité permet donc à un attaquant d'envoyer une série de paquets ICMP dans le but de mener un déni de service. Selon le type de l'erreur ICMP (injoignable ou saturation), deux conséquences sont possibles : arrêt de la session ou ralentissement du transfert.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2004-0230

TCP : déni de service à l'aide de paquet Reset

Synthèse de la vulnérabilité

En envoyant des paquets contenant le drapeau Reset et en prédisant certaines informations, un attaquant peut interrompre des sessions TCP actives.
Produits concernés : FabricOS, Brocade Network Advisor, Brocade vTM, FW-1, VPN-1, ASA, Cisco Cache Engine, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, FreeBSD, Tru64 UNIX, AIX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, NSMXpress, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, TCP (protocole), Raptor Firewall, SUSE Linux Enterprise Desktop, SLES, SEF, SGS.
Gravité : 3/4.
Conséquences : déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/04/2004.
Dates révisions : 22/04/2004, 23/04/2004, 26/04/2004, 27/04/2004, 28/04/2004, 03/05/2004, 07/05/2004, 11/05/2004, 15/07/2004, 06/12/2004, 24/12/2004, 18/02/2005, 13/04/2005, 03/05/2005, 12/05/2005, 19/07/2005.
Références : 20040403-01-A, 2005.05.02, 236929, 50960, 50961, 58784, 899480, 922819, BID-10183, BSA-2016-005, CERTA-2004-AVI-138, CERTA-2004-AVI-140, CERTA-2004-AVI-143, CERTFR-2014-AVI-308, CERTFR-2017-AVI-034, CERTFR-2017-AVI-044, CERTFR-2017-AVI-054, CERTFR-2017-AVI-131, CISCO20040420a, CISCO20040420b, cisco-sa-20040420-tcp-ios, cisco-sa-20040420-tcp-nonios, CSCed27956, CSCed32349, CVE-2004-0230, FreeBSD-SA-14:19.tcp, HP01077, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, JSA10638, MS05-019, MS06-064, NetBSD 2004-006, NetBSD-SA2004-006, Netscreen 58784, OpenBSD 34-019, OpenBSD 35-005, PSN-2012-08-686, PSN-2012-08-687, PSN-2012-08-688, PSN-2012-08-689, PSN-2012-08-690, SGI 20040403, SUSE-SU-2017:0333-1, SUSE-SU-2017:0437-1, SUSE-SU-2017:0494-1, SUSE-SU-2017:1102-1, V6-TCPRSTWINDOWDOS, VIGILANCE-VUL-4128, VU#415294.

Description de la vulnérabilité

L'entête TCP contient un champ window/fenêtre qui correspond à la taille du buffer de réception de la machine ayant émis le paquet. Ainsi si certains paquets arrivent dans le désordre la machine peut les stocker en attente de réception des paquets précédents.

Lorsqu'une connexion TCP est établie, elle peut se terminer de deux manières :
 - les entités s'échangent des paquets contenant le drapeau Fin actif. Dans ce cas, les numéros de séquence (et d'acquittement car le Ack est nécessaire) doivent correspondre exactement.
 - l'une des entités envoie un paquet contenant le drapeau Reset actif. Dans ce cas (drapeau Ack non actif), seul le numéro de séquence doit correspondre approximativement. En effet, il doit se situer dans la fenêtre de réception.

Ainsi, au lieu de deviner un numéro de séquence parmi 2^32 nombres, l'attaquant doit simplement envoyer 2^32/fenêtre paquets Reset. Par exemple si la taille de la fenêtre est 32k, l'attaquant doit envoyer 2^32/32k = 131072 paquets.

Il faut noter que pour mener ce déni de service utilisant un paquet TCP Reset, l'attaquant doit connaître :
 - les adresses IP source et destination
 - les ports source et destination
Certains protocoles comme BGP deviennent alors sensibles car ces informations peuvent être obtenues.

Un attaquant peut ainsi envoyer un paquet TCP contenant le drapeau Reset pour interrompre une session TCP active.

On peut noter que des paquets SYN peuvent aussi être utilisés, mais cette variante est moins efficace à cause des limitations généralement mises en place pour protéger contre les attaques synflood.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2002-0392

Exécution de code avec une requête chunk encoded

Synthèse de la vulnérabilité

En utilisant une requête spéciale, un attaquant distant peut faire exécuter du code sur le serveur web.
Produits concernés : Apache httpd, Debian, FreeBSD, OpenView, Tru64 UNIX, HP-UX, WebSphere AS Traditional, Mandriva Linux, OpenBSD, openSUSE, Oracle AS, Oracle DB, Solaris, Trusted Solaris, Raptor Firewall, RedHat Linux, OpenLinux, IRIX, Slackware, SEF, Unix (plateforme) ~ non exhaustif.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/06/2002.
Dates révisions : 18/06/2002, 19/06/2002, 20/06/2002, 21/06/2002, 24/06/2002, 27/06/2002, 02/07/2002, 03/07/2002, 05/07/2002, 10/07/2002, 12/07/2002, 15/07/2002, 17/07/2002, 22/07/2002, 24/07/2002, 01/08/2002, 02/08/2002, 07/08/2002, 09/08/2002, 29/08/2002, 10/09/2002, 18/09/2002, 19/05/2003.
Références : 20020605-01-I, 2002.07.03, BID-5033, CA-2002-17, CERTA-2002-AVI-130, CERTA-2002-AVI-137, CIAC M-093, Compaq SSRT2253, CSSA-2002-029, CSSA-2002-029.0, CVE-2002-0392, DSA-131, DSA-131-2, DSA-132, DSA-132-1, DSA-133, DSA-133-1, FreeBSD-SN-02:04, HP197, ISS20501, ISS 20501, ISS20524, ISS 20524, M-093, MDKSA-2002:039, MDKSA-2002:039-2, Netscreen 20020731a, OpenBSD 30-022, OpenBSD 31-005, ORACLE036, RHSA-2002:103, RHSA-2002:117, RHSA-2002:118, Security Alert 36, SGI 20020605, Slackware 20020619a, SSRT2253, Sun Alert 45961, Sun Alert ID 45961, Sun BugID 4705227, SUSE-SA:2002:022, SYMANTEC20020703, V6-APACHECHUNKSIGN, VIGILANCE-VUL-2644, VU#944335.

Description de la vulnérabilité

Lorsqu'un client connaît par avance la taille totale des données qu'il désire envoyer, il utilise l'entête Content-Length du protocole HTTP pour spécifier cette taille, puis envoie les données.
Dans certains cas, le client ne connaît pas la taille totale, et utilise alors un "chunk encoding". Pour cela, la taille est spécifiée pour chaque fragment de données. Par exemple :
 - taille 3
 - données "ABC"
 - taille 5
 - données "ABCDE"
 - etc.
Ce format est utilisé par le client dans les requêtes de type POST, et par le serveur dans les réponses.

Dans le langage C :
 - la valeur d'un entier signé (int) est au moins comprise entre -2^31 et +2^31
 - la valeur d'un entier non signé (unsigned) est au moins comprise entre 0 et 2^32

Le fichier src/main/http_protocol.c d'Apache contient une erreur dans le calcul de la taille des données à lire. En effet, un entier signé est comparé à un entier non signé :
  tailleàlire = (nonsigné > signé) ? valeur1 : valeur2;
Donc, après la limite de 2^31, une mauvaise valeur est affectée dans tailleàlire. Le programme n'est alors plus synchronisé et peut corrompre sa mémoire avec les données provenant de l'attaquant.

Cette vulnérabilité permet donc à un attaquant distant de faire exécuter du code sur la machine avec les droits du serveur web en version 1. Pour les versions 2 d'Apache, seul un déni de service est possible.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 3248

Déni de service par une adresse mail

Synthèse de la vulnérabilité

En concevant un e-mail malveillant, un attaquant distant peut stopper le service smtpd du firewall.
Produits concernés : Raptor Firewall, SEF.
Gravité : 3/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 03/01/2003.
Références : V6-RAPTORSMTPCHARDOS, VIGILANCE-VUL-3248.

Description de la vulnérabilité

Le protocole SMTP (Simple Mail Transfer Protocol) permet le transfert de courrier sur Internet.

Le corps d'un e-mail peut contenir plusieurs en-têtes:
 - Date: date d'émission de l'e-mail
 - Subject: sujet de l'e-mail
 - From: adresse de l'expéditeur
 - etc.

Le service smptd (démon pour le protocole smtp) est implémenté sur le firewall Raptor.

Une faille a été découverte dans la gestion du champ "adresse" d'un e-mail par le service smtpd. En effet, si une adresse e-mail contient le caractère "%", une erreur se produit et le démon se stoppe. Cette erreur est provoquée lorsque Raptor essaie de loguer l'adresse e-mail contenant le caractère invalide.

Un attaquant distant peut concevoir un e-mail dont l'adresse contienne le caractère "%", puis envoyer cet e-mail à destination du service smtpd du firewall. Lors du traitement de ce message, le service se stoppera.

L'attaquant peut ainsi mener un déni de service du démon smtpd du firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 3213

Arrêt des services rad et statsd

Synthèse de la vulnérabilité

En concevant des paquets mal formés à destination du firewall, l'attaquant peut stopper les services rad et statsd.
Produits concernés : Raptor Firewall, SEF.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 13/12/2002.
Références : 2002.12.12, BID-6389, SYMANTEC20021212, V6-RAPTORRADSTATSDDOS, VIGILANCE-VUL-3213.

Description de la vulnérabilité

Les services rad (RealAudio) et statsd (service de statistiques) sont implémentés sur Raptor.

Une faille a été découverte dans la gestion de ces services par Raptor. En effet, lorsque le firewall reçoit des paquets particuliers à destination de rad, un débordement de mémoire se produit. Ce débordement entraîne l'arrêt des services rad et statsd.

Un attaquant distant, peut générer des paquets particuliers à destination du service rad du firewall, afin de mener un déni de service sur celui-ci.

L'attaquant peut ainsi stopper les services rad et statsd du firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 3212

Révélation de l'adresse IP externe du firewall

Synthèse de la vulnérabilité

En exploitant une erreur des services rad et gopherd, un attaquant distant peut obtenir l'adresse IP externe du firewall.
Produits concernés : Raptor Firewall, SEF.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 13/12/2002.
Références : V6-RAPTORGOPHERDREVEALIP, VIGILANCE-VUL-3212.

Description de la vulnérabilité

Les services rad (RealAudio) et gopherd (Gopher) sont implémentés sur le firewall Raptor.

Ce firewall peut être situé derrière un dispositif effectuant une translation d'adresse. Dans ce cas, l'adresse IP externe du firewall n'est pas publique. Par exemple :
 - le firewall a pour adresse externe 1.2.3.4
 - le dispositif a pour adresse publique 5.6.7.8
Seule l'adresse 5.6.7.8 est donc connue.

Lorsque l'authentification de rad ou gopherd échoue (login / mot de passe incorrect) un message d'erreur est retourné à l'utilisateur. Cependant ce message contient l'adresse IP externe du firewall (1.2.3.4).

Un attaquant distant, peut créer une session vers l'un de ces services, et utiliser des données d'authentification erronées. Le firewall va alors générer une réponse contenant son adresse IP externe.

L'attaquant peut ainsi obtenir des informations en vue de préparer une intrusion.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 3098

Blocage des démons lors du traitement de nombreux paquets

Synthèse de la vulnérabilité

Suite à une erreur dans la gestion des threads, certains démons peuvent cesser de fonctionner correctement.
Produits concernés : Raptor Firewall, SEF.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 31/10/2002.
Références : V6-RAPTORLOADTHREADDOS, VIGILANCE-VUL-3098.

Description de la vulnérabilité

Les threads assurent des tâches concurrentes liées à un même processus.

Les threads nécessitent des ressources du système et leur nombre doit donc être limité afin de ne pas surcharger la machine. Par défaut, cette limite est fixée à 256.

Cependant, l'algorithme de gestion des threads employés par les démons du firewall est défaillant lorsque la machine reçoit un flux de données assez conséquent. En effet, si les règles contiennent "all*", la limite est rapidement atteinte. Le firewall rejette donc les paquets et peut dans certains cas se bloquer.

Un attaquant employant de nombreuses données peut ainsi saturer et stopper le firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 3051

Obtention de la topologie du réseau à l'aide de requêtes CONNECT

Synthèse de la vulnérabilité

En utilisant une requête HTTP spéciale, un attaquant du réseau peut obtenir des informations sur l'architecture interne.
Produits concernés : Raptor Firewall.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 15/10/2002.
Références : 2002.10.11, BID-5959, V6-RAPTORSWEBIPINFOS, VIGILANCE-VUL-3051.

Description de la vulnérabilité

Le proxy web permet de s'interfacer entre les clients situés sur internet et un serveur protégé derrière le firewall.

Le protocole HTTP supporte divers types de requête :
 - GET : obtention de documents
 - POST : obtention de documents en fournissant des données supplémentaires dans la requête
 - CONNECT : connexion directe (employé par exemple pour le protocole https)
 - etc.

Un attaquant distant peut utiliser les requêtes CONNECT en demandant à se connecter sur une adresse IP du réseau interne. Deux cas se produisent alors :
 - l'adresse IP est invalide : la machine ne répond pas
 - l'adresse IP est valide : la machine répond, mais est bloquée par le firewall.
Ces deux situations conduisent à deux messages d'erreur différents.

Un attaquant peut donc analyser le message d'erreur afin de déterminer si une adresse IP existe ou non.

Cette vulnérabilité permet donc à un attaquant externe de déterminer la topologie du réseau.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.