The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of ACEdirector

vulnerability CVE-2002-0209

Obtention d'information par des connexions tcp Half-Close

Synthesis of the vulnerability

En réalisant des connexions http malicieuses sur le switch, un attaquant distant peut obtenir l'adresse ip réelle d'un serveur web.
Impacted products: ACEdirector.
Severity: 2/4.
Consequences: data reading.
Provenance: internet server.
Creation date: 28/01/2002.
Revisions dates: 11/02/2002, 13/03/2002, 19/03/2002.
Identifiers: BID-3964, CERTA-2002-AVI-060, CVE-2002-0209, V6-NORTELALTEONCOOKIES, VIGILANCE-VUL-2210.

Description of the vulnerability

Les switch de niveau 7 Alteon ACEdirector possèdent de nombreuses fonctionnalités: load balancing (web, ssl, applications, etc.), qos, management de bande passante, filtrage de sessions tcp/ip, etc. Ces switch utilisent le système d'exploitation WebOS de Nortel Network.

Ces switch peuvent être utilisés pour répartir la charge d'un serveur web, par exemple:
 - le serveur http://www.serveur.com/ possède l'adresse ip 1.2.3.4,
 - cette adresse ip pointe vers le switch, elle est dite virtuelle,
 - le switch réparti les connexions http vers d'autres serveurs possèdant des adresses ip réelles (5.6.7.8, etc.).

Normalement les adresses ip réelles ne sont pas connues publiquement. Lorsqu'un client 10.0.0.1 réalise une requête http vers 1.2.3.4 :
 - le switch va diriger cette requête avec:
   adresse source: 1.2.3.4
   adresse destination: 5.6.7.8
 - le serveur répond avec:
   adresse source: 5.6.7.8
   adresse destination: 1.2.3.4
 - enfin le switch répond au client avec:
   adresse source: 1.2.3.4
   adresse destination: 10.0.0.1
Lors d'une telle session, un cookie et un identificateur de session sont créés par le switch.

La fonctionnalité TCP Half-Close permet à une des parties d'arrêter d'émettre. Par exemple, un client peut envoyer des données à un serveur, puis envoyer un FIN afin d'indiquer qu'il n'a plus de données à émettre. Le serveur, quant à lui, peut continuer à envoyer des données vers le client. Un client HTTP peut ainsi clore son émission après avoir envoyé son entête. Le serveur HTTP pourra alors tout de même émettre le résultat de la requête du client.

Une faille a été découverte dans la manière dont le switch manipule les cookies. En effet, dans le cas où des sessions http sont laissées dans l'état TCP Half-Close, il est alors possible d'obtenir l'adresse ip réelle du serveur web. Le switch répond alors avec:
   adresse source: 5.6.7.8
   adresse destination: 10.0.0.1

Un attaquant peut donc créer des sessions http malicieuses dans le but d'obtenir l'adresse ip réelle du serveur.
Full Vigil@nce bulletin... (Free trial)
Our database contains other pages. You can request a free trial to read them.