L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Stonesoft StoneGate Intrusion Prevention System

avis de vulnérabilité informatique CVE-2008-4609

TCP : déni de service Sockstress

Synthèse de la vulnérabilité

Un attaquant peut employer des fenêtres TCP de petite taille afin de surcharger un serveur TCP.
Produits concernés : ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, BIG-IP Hardware, TMOS, Linux, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows Vista, Windows XP, NLD, OES, OpenSolaris, openSUSE, Solaris, Trusted Solaris, TCP (protocole), StoneGate Firewall, StoneGate IPS, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/10/2008.
Dates révisions : 20/10/2008, 09/09/2009.
Références : 109444, 110132, 267088, 6759500, 967723, BID-31545, c01923093, CERTA-2009-ALE-017-003, cisco-sa-20090908-tcp24, cisco-sr-20081017-tcp, cpujul2012, CVE-2008-4609, FICORA #193744, HPSBMI02473, MS09-048, SA34, SA35, SA36, SA37, SA38, SA40, SA41, sk42723, sk42725, SOL10509, SOL7301, SOL9293, SSRT080138, SUSE-SA:2009:047, VIGILANCE-VUL-8139, VU#723308.

Description de la vulnérabilité

Le champ "window" d'un paquet TCP indique la taille de la fenêtre tolérée (et donc de l'intervalle) pour les numéros de séquence des paquets arrivant.

Selon le protocole TCP, lorsque le système ne peut plus recevoir beaucoup de données (par exemple si ses buffers sont presque pleins), il diminue la valeur du champ "window". L'hôte distant envoie alors progressivement ses données.

Un attaquant peut donc se connecter sur un service TCP en écoute, et ainsi artificiellement prolonger la durée de la session, afin de surcharger l'hôte distant.

L'attaquant peut combiner cette vulnérabilité avec un "reverse syn cookies" et l'option TCP Timestamp afin de ne pas avoir à garder d'état sur sa machine.

Un attaquant peut ainsi employer peu de ressources sur sa machine, et forcer l'utilisation de nombreuses ressources sur la cible. L'impact de ce déni de service temporaire dépend du système cible, et est comparable à un attaquant ouvrant réellement de nombreuses sessions TCP (à la différence que cela consomme peu de ressources sur sa machine). L'attaquant ne peut pas usurper (spoofer) son adresse IP pour mener cette attaque.

Il y a plusieurs variantes d'attaques, liées à la taille de la fenêtre ou à la réouverture temporaire de la fenêtre. La vulnérabilité VIGILANCE-VUL-8844 peut être considérée comme une variante.

Lorsque l'attaquant cesse d'envoyer des paquets, le déni de service cesse. Cependant, certaines erreurs d'implémentations additionnelles (comme la vulnérabilité Microsoft CVE-2009-1926 de VIGILANCE-VUL-9008, ou les vulnérabilités de Cisco Nexus 5000 décrites dans la solution pour Cisco) font que le déni de service reste permanent.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2008-0166

Debian : aléas openssl prédictibles

Synthèse de la vulnérabilité

Les clés générées par le paquetage openssl de Debian 4.0 sont prédictibles.
Produits concernés : ProxySG par Blue Coat, Debian, StoneGate Firewall, StoneGate IPS.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/05/2008.
Références : BID-29179, CERTA-2008-AVI-239, CERTA-2008-AVI-246, CVE-2008-0166, DSA-1571-1, DSA-1576-1, DSA-1576-2, VIGILANCE-VUL-7821, VU#925211.

Description de la vulnérabilité

Le paquetage openssl de Debian est une version modifiée d'OpenSSL.

Cependant, cette modification rend les clés générées prédictibles.

Les clés générées pour les applications suivantes sont potentiellement affectées :
 - certificat X.509 (apache, etc.)
 - DNSSEC
 - OpenVPN
 - SSH

Les clés générées pour les applications suivantes ne sont pas affectées :
 - GnuPG
 - GNUTLS

Un attaquant peut donc prédire les clés générées par le paquetage openssl de Debian, afin par exemple d'usurper l'identité d'un client ou d'un serveur.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2007-2688 CVE-2007-2689 CVE-2007-2734

IDS : contournement de l'IDS avec les demi ou pleine chasse

Synthèse de la vulnérabilité

Un attaquant peut employer des caractères Unicode demi ou pleine chasse afin de contourner plusieurs IDS.
Produits concernés : VPN-1, ASA, IOS par Cisco, Cisco IPS, Cisco Router, TippingPoint IPS, Snort, StoneGate IPS.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2007.
Dates révisions : 16/05/2007, 22/05/2007.
Références : 3COM-07-001, 91767, BID-23980, cisco-sr-20070514-unicode, CSCsi58602, CSCsi67763, CSCsi91487, CVE-2007-2688, CVE-2007-2689, CVE-2007-2734, CVE-2007-5793, GS07-01, VIGILANCE-VUL-6815, VU#739224.

Description de la vulnérabilité

Les tables de caractères Unicode comportent des caractères dont l'apparence est similaire. Par exemple :
 - le caractère 'à' peut être encodé U+00E0, ou bien 'a' suivi du diacritique combinant '`' (U+0061-U+0300)
 - la chaîne 'ff' peut être encodée U+0066-U+0066, ou bien à l'aide de la ligature U+FB00
 - le caractère 'a' peut être encodé U+0061, ou bien à l'aide du caractère pleine-chasse U+FF41 (les caractères pleine-chasse ont une largeur fixe, comme pour les machines à écrire ; les caractères pleine-chasse sont principalement utilisés comme alias des caractères ASCII-127 ; les caractères demi-chasse sont deux fois moins larges et sont principalement utilisés pour les caractères asiatiques simplifiés)

Certains logiciels convertissent automatiquement les caractères ayant une apparence similaire. Par exemple, en PHP et ASP.NET, les caractères pleine-chasse sont convertis en caractères ASCII-127.

Certains IDS/IPS ne gèrent pas correctement les caractères demi-chasse (half-width) ou pleine-chasse (full-width).

Un attaquant peut donc employer ces caractères pour contourner l'IDS.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.