The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of Protocol IP

computer vulnerability bulletin CVE-2016-10142

IPv6: denial of service via Packet Too Big and Fragmentation

Synthesis of the vulnerability

An attacker can use ICMP Packet Too Big to force the generation of IPv6 fragments, in order to trigger a denial of service.
Impacted products: BIG-IP Hardware, TMOS, Juniper J-Series, Junos OS, SRX-Series, Linux, IP protocol, Pulse Connect Secure, RHEL.
Severity: 2/4.
Consequences: denial of service on server, denial of service on service.
Provenance: internet client.
Creation date: 21/03/2017.
Identifiers: 1415908, CERTFR-2017-AVI-111, CVE-2016-10142, JSA10780, K46535047, K57211290, RHSA-2017:0817-01, SA43730, VIGILANCE-VUL-22208.

Description of the vulnerability

An attacker can use ICMP Packet Too Big to force the generation of IPv6 fragments, in order to trigger a denial of service.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability bulletin 15228

IPv6: denial of service via Filtered Extension Headers

Synthesis of the vulnerability

An attacker can send a spoofed ICMPv6 packet to an IPv6 implementation filtering extension headers, in order to trigger a denial of service.
Impacted products: IP protocol.
Severity: 1/4.
Consequences: denial of service on service.
Provenance: internet client.
Creation date: 26/08/2014.
Identifiers: draft-gont-v6ops-ipv6-ehs-in-real-world-00, VIGILANCE-VUL-15228.

Description of the vulnerability

IPv6 extension headers, such as the Fragment header, are sometimes filtered by administrators.

However, in this case, an attacker can send a spoofed ICMPv6 "Packet too big" packet, to force the fragmentation, which is thus blocked.

An attacker can therefore send a spoofed ICMPv6 packet to an IPv6 implementation filtering extension headers, in order to trigger a denial of service.
Full Vigil@nce bulletin... (Free trial)

vulnerability note CVE-2012-4444

IPv6: incorrect implementation of Fragment Overlap

Synthesis of the vulnerability

Some IPv6 implementations do not abide by the RFC 5722, so an attacker can fingerprint the system, or bypass an IDS.
Impacted products: Linux, Windows 7, OpenBSD, IP protocol, RHEL, SUSE Linux Enterprise Desktop, SLES.
Severity: 1/4.
Consequences: data flow.
Provenance: internet client.
Creation date: 09/11/2012.
Identifiers: BID-56891, CVE-2012-4444, RHSA-2012:1580-01, RHSA-2013:0168-01, SUSE-SU-2013:0856-1, VIGILANCE-VUL-12124.

Description of the vulnerability

The RFC 2460 defines IPv6. This RFC did not forbid overlapping IPv6 fragments. The RFC 5722 defines that these fragments must be ignored.

However, the RFC 5722 is not abided by all IPv6 implementations. These implementations thus have different behaviors.

Some IPv6 implementations therefore do not abide by the RFC 5722, so an attacker can fingerprint the system, or bypass an IDS.
Full Vigil@nce bulletin... (Free trial)

vulnerability alert CVE-2007-2242

IPv6: vulnerabilities of IPv6 Routing Header

Synthesis of the vulnerability

An attacker can send IPv6 packets in order to generate a denial of service or to obtain information.
Impacted products: IOS by Cisco, Cisco Router, Fedora, FreeBSD, Juniper J-Series, Junos OS, Linux, Mandriva Linux, Mandriva NF, NetBSD, netfilter, OpenBSD, openSUSE, IP protocol, RHEL, SLES.
Severity: 3/4.
Consequences: data reading, denial of service on service.
Provenance: internet client.
Number of vulnerabilities in this bulletin: 5.
Creation date: 24/04/2007.
Identifiers: BID-23615, CERTA-2007-AVI-389, CVE-2007-2242, FEDORA-2007-482, FEDORA-2007-483, FreeBSD-SA-07:03.ipv6, MDKSA-2007:171, MDKSA-2007:196, MDKSA-2007:216, NetBSD-SA2007-005, RHSA-2007:0347-01, SUSE-SA:2007:051, SUSE-SA:2008:006, VIGILANCE-VUL-6761, VU#267289.

Description of the vulnerability

The IPv6 protocol defines optional headers: Hop-by-Hop, Routing, Fragment, etc. The Routing header can have several types:
 - 0 : source route (RFC 2460)
 - 1 : Nimrod
 - 2 : mobility (RFC 3775)
Type 0 permits to define routers to traverse, which leads to several vulnerabilities.

By sending packets with a short Hop Limit (TTL) (like traceroute) and indicating parallel routers, an attacker can discover targeted network topology. [severity:3/4]

An attacker can bounce on internal network, if firewall does not correctly filter Routing headers. [severity:3/4]

An attacker can create a packet indicating to go through:
 - router1, then
 - router2, then
 - router1, then
 - router2, then
 - etc. (loop of forty hosts)
This packet thus loops 40 times on the network, which generates a denial of service. [severity:3/4]

Previous denial of service can be amplified using IPv4-IPv6 relays, because going though IPv6-IPv4-IPv4-...-IPv4-IPv6 routers decrements IPv4 TTL N times, whereas IPv6 Hop Limit is only decremented once. [severity:3/4]

A loop between two routers can be seen as an electronic capacity, because it delays the reception of packet by the final computer. An attacker can therefore:
 - send 1000 SYN packets with a "delay" of 500ms
 - send 1000 SYN packets with a delay of 400ms
 - send 1000 SYN packets with a delay of 300ms
 - send 1000 SYN packets with a delay of 200ms
 - send 1000 SYN packets with a delay of 100ms
 - send 1000 SYN packets without delay
The destination computer will thus receive 6000 packets in 100ms, whereas attacker can only send 1000 packets in 100ms. [severity:3/4]
Full Vigil@nce bulletin... (Free trial)

computer vulnerability alert CVE-2006-1242

Linux, IOS: using computer for an idle scan

Synthesis of the vulnerability

An attacker can use the computer to do an idle scan on another computer.
Impacted products: IOS by Cisco, Cisco Router, Debian, Linux, Mandriva Linux, Mandriva NF, openSUSE, IP protocol, TCP protocol, RHEL.
Severity: 1/4.
Consequences: data flow.
Provenance: intranet client.
Creation date: 15/03/2006.
Revision date: 28/03/2006.
Identifiers: BID-17109, CERTA-2002-AVI-035, CVE-2006-1242, DSA-1097-1, DSA-1103-1, MDKSA-2006:086, MDKSA-2006:116, RHSA-2006:043, RHSA-2006:0437-01, RHSA-2006:057, RHSA-2006:0575-01, SUSE-SA:2006:028, VIGILANCE-VUL-5686.

Description of the vulnerability

The id field of IP header is used to reassemble fragmented packets.

An idle scan uses an intermediary computer (N) to do a port scan of another computer (T). Only intermediary computers whose id field is incremented for each sent packet can be used to conduct this attack:
 - the attacker A sends a TCP SYN-ACK packet to N
 - N returns a RST packet to attacker, who notes the value of the IP header id field (for example 1234)
 - A sends a SYN packet with a N spoofed value to T
 - T returns:
    + a SYN-ACK packet to N if the port is open (N then sends a RST packet to T, whose id field is 1235)
    + a RST packet if the port is closed (N does not reply, so the id counter is not incremented)
 - A do the first and the second operation again, and notes the new value of the id field
So, the id field is:
 - 1236 if the port is open
 - 1235 if the port is closed

This vulnerability was corrected in Linux 2.4.8, to ensure Linux is not used as an intermediary computer. However, a regression error re-introduced this vulnerability again.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability alert CVE-2005-0039

IPSec : déchiffrement de paquets

Synthesis of the vulnerability

Sous certaines conditions, un attaquant peut déchiffrer le contenu de certains paquets IPSec.
Impacted products: Tru64 UNIX, HP-UX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, IP protocol.
Severity: 2/4.
Consequences: data reading.
Provenance: internet server.
Creation date: 10/05/2005.
Revisions dates: 19/05/2005, 10/08/2005.
Identifiers: 004033, BID-13562, c00572922, CERTA-2005-AVI-312, CVE-2005-0039, HP01217, HPSBUX02079, PSN-2005-05-010, SSRT5957, V6-IPSECESPNOAHICMP, VIGILANCE-VUL-4956, VU#302220.

Description of the vulnerability

Le protocole IPSec permet de chiffrer et d'authentifier les flux. Ce protocole utilise des entêtes intégrés dans les paquets IP :
 - AH (Authentication Header) : protection d'intégrité
 - ESP (Encapsulating Security Payload) : protection de confidentialité (chiffrement)

Il existe plusieurs modes de fonctionnement :
 a- AH en mode transport : l'entête AH est situé entre l'entête IP d'origine et les données d'origine
 b- AH en mode tunnel : l'entête AH est situé entre un nouvel entête IP et le paquet IP d'origine
 c- ESP en mode transport : l'entête ESP est situé entre l'entête IP d'origine et les données d'origine chiffrées
 d- ESP en mode tunnel : l'entête ESP est situé entre un nouvel entête IP et le paquet IP d'origine chiffré
 e- AH+ESP en mode transport : les entêtes AH et ESP sont situés entre l'entête IP d'origine et les données d'origine chiffrées
 f- AH+ESP en mode tunnel : les entêtes AH et ESP sont situés entre un nouvel entête IP et le paquet IP d'origine chiffré
 g- ESP tunnel + AH transport : l'entête ESP est situé entre un nouvel entête IP et le paquet "entêteIP + AH + données d'origine" chiffré

Une vulnérabilité concerne les cas d et g. En effet, avec un chiffrement CBC, un attaquant peut modifier des paquets sans que la passerelle IPSec le détecte. Le principe de l'attaque est :
 - l'attaquant a intercepté des paquets IPSec qu'il souhaite déchiffrer
 - l'attaquant modifie certains bits (bit-flipping), puis envoie les paquets à la passerelle
 - la passerelle les déchiffre. Les paquets sont presque corrects, excepté que l'adresse IP, le protocole, ou les options IP sont différents.
 - la passerelle détecte cette erreur et retourne un message ICMP à l'expéditeur.
Le message ICMP contient le paquet (le début du paquet) déchiffré. Ce paquet est presque correct, mais l'attaquant connaît les champs qu'il a modifiés, et peut donc déterminer le paquet d'origine.

Un attaquant peut ainsi déchiffrer des paquets IPSec qu'il a intercepté.
Full Vigil@nce bulletin... (Free trial)

vulnerability note CVE-2004-0744

Déni de service à l'aide de données fragmentées, New Dawn attack

Synthesis of the vulnerability

Un attaquant peut utiliser des paquets fragmentés dans le but de mener un déni de service.
Impacted products: HP-UX, Windows 2000, IP protocol.
Severity: 2/4.
Consequences: denial of service on server.
Provenance: internet server.
Creation date: 20/09/2004.
Revision date: 27/09/2004.
Identifiers: BID-11258, c00579189, CERTA-2005-AVI-505, CVE-2004-0744, emr_na-c00579189-5, HPSBUX02087, SSRT4728, V6-IPFRAGROSE2DOS, VIGILANCE-VUL-4404.

Description of the vulnerability

Lorsqu'un paquet IP a une taille supérieure au MTU, il est fragmenté. Plusieurs paquets sont alors envoyés :
 - paquet 1 : MoreFrag=vrai et offset=0
 - paquet 2 : MoreFrag=vrai et offset=(taille_de_paquet1)/8
 - etc.
 - dernier paquet : MoreFrag=faux et offset=(taille_totale_envoyée)/8

La pile IP destinatrice stocke les fragments. Lorsque tous les fragments ont été reçus, les données sont passées à la couche supérieure.
 
Cependant, un attaquant peut envoyer quelques uns des fragments, puis envoyer de manière répétitive le dernier fragment. Pour chaque traitement du dernier fragment, certaines implémentations re-parcourent la liste des fragments précédents.

Cette vulnérabilité permet ainsi à un attaquant distant de surcharger le processeur, afin de mener un déni de service.

Il faut noter qu'un attaquant peut usurper (spoof) les adresses IP sources et que cette attaque fonctionne même si la machine n'a aucun service TCP ou UDP ouvert (sauf si un firewall bloque les paquets destinés aux ports fermés).
Full Vigil@nce bulletin... (Free trial)

computer vulnerability note 4089

Déni de service à l'aide de données fragmentées, Rose Attack

Synthesis of the vulnerability

Un attaquant peut utiliser des sessions de deux fragments dans le but de mener un déni de service.
Impacted products: ASA, Windows 2000, Windows 98, IP protocol, Unix (platform) ~ not comprehensive.
Severity: 2/4.
Consequences: denial of service on server.
Provenance: internet server.
Creation date: 01/04/2004.
Revisions dates: 02/04/2004, 08/04/2004, 09/04/2004, 13/04/2004, 28/04/2004.
Identifiers: V6-IPFRAGROSEDOS, VIGILANCE-VUL-4089.

Description of the vulnerability

Lorsqu'un paquet IP a une taille supérieure au MTU, il est fragmenté. Plusieurs paquets sont alors envoyés :
 - paquet 1 : MoreFrag=vrai et offset=0
 - paquet 2 : MoreFrag=vrai et offset=(taille_de_paquet1)/8
 - etc.
 - dernier paquet : MoreFrag=faux et offset=(taille_totale_envoyée)/8

La pile IP destinatrice stocke les fragments. Lorsque tous les fragments ont été reçus, les données sont passées à la couche supérieure.

Cependant, un attaquant peut envoyer uniquement le premier et le dernier paquet, et répéter cette opération de nombreuses fois. La machine destinatrice réservera alors de nombreuses ressources pour stocker ces paquets avant qu'un timeout se déclenche.

Selon les implémentations des piles IP, cette vulnérabilité permet de :
 - surcharger le processeur
 - perturber tous les trafics
 - perturber les trafics fragmentés légitimes

Il faut noter qu'un attaquant peut usurper (spoof) les adresses IP sources et que cette attaque fonctionne même si la machine n'a aucun service TCP ou UDP ouvert (sauf si un firewall bloque les paquets destinés aux ports fermés).
Full Vigil@nce bulletin... (Free trial)

computer vulnerability 2875

Erreur de décodage des adresses IPv4 des machines non compatibles

Synthesis of the vulnerability

A cause de la complexité des machines ayant une pile IP compatible version 4 et 6, des erreurs d'analyse des adresses IP v4 pourraient conduire à des transitions de flux illicites.
Impacted products: IP protocol.
Severity: 1/4.
Consequences: data creation/edition.
Provenance: internet server.
Creation date: 23/08/2002.
Revision date: 28/08/2002.
Identifiers: BID-5545, V6-IP6IP4DECODE, VIGILANCE-VUL-2875.

Description of the vulnerability

Les adresses IP version 6 sont de la forme :
 1111:2222:3333:4444:5555:6666:7777:8888
Ou plus simplement, si plusieurs zéros se suivent :
 ::aaaa:bbbb

Les adresses de machines compatibles IPv4/IPv6 sont représentées sous la forme :
 ::1.2.3.4
Les adresses de machines incompatibles IPv6 sont représentées sous la forme :
 ::ffff:1.2.3.4

Lorsque l'API de gestion des socket reçoit cette adresse, il traite soit :
 - une adresse en IPv4 (AF_INET)
 - une adresse en IPv6 (AF_INET6)
Cependant, l'API en IPv4 ne peut plus détecter si l'adresse est arrivée sur sa pile IP en version 4 ou 6. Par exemple l'adresse ::ffff:127.0.0.1 pourrait être utilisée pour usurper une adresse locale (127.0.0.1).

Ainsi les implémentations complexes de piles et d'API IPv4 et IPv6 pourraient gérer incorrectement les adresses illicites. Cette famille de vulnérabilités permettrait alors à un attaquant du réseau de contourner certaines règles de filtrage.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability alert 2066

Scan de port par prédictibilité d'ID IP

Synthesis of the vulnerability

Lorsque l'ID IP est prédictible, un attaquant peut scanner les ports ouverts sur d'autres machines en masquant son adresse d'attaque. Note : cette vulnérabilité date de 1998.
Impacted products: IP protocol.
Severity: 1/4.
Consequences: data reading.
Provenance: internet server.
Creation date: 04/12/2001.
Identifiers: SGI 20011106, SGI20011106-01-A, V6-IPIDINCPORTSCAN, VIGILANCE-VUL-2066.

Description of the vulnerability

Le champ ID de l'entête IP sert à réassembler les fragments éventuels crées lors de la transition d'un paquet sur un réseau. Ce champ doit donc posséder une valeur différente pour chaque paquet. En général, l'ID est donc simplement incrémenté d'un paquet à l'autre.

Cependant, dans le cas où :
 - la machine de l'attaquant a pour adresse IP A
 - la machine d'adresse IP B implémente une pile IP dont l'ID est incrémenté (ou facilement prédictible)
 - l'attaquant désire scanner la machine C,
alors le scénario d'attaque suivant peut être emis en place :
 - l'attaquant émet un paquet SYN ayant :
    - comme adresse source : B
    - comme adresse destination : C
 - deux cas peuvent alors se produire :
    - le port est ouvert sur C :
        - C émet un paquet SYN-ACK vers B
        - B répond alors un RST
        - C confirme le RST
    - le port est fermé :
        - C émet un paquet RST vers B
        - B ne répond pas
Ainsi, la machine B émet un nombre différent de paquets, selon l'état du port sur la machine C. Un attaquant peut en déduire si le port est ouvert ou fermé. Il faut noter que ceci ne fonctionne que si B n'est pas amené à répondre aux requêtes d'autres clients durant l'attaque.

Cette vulnérabilité peut donc permettre à un attaquant distant de connaître les ports ouverts sur une machine, sans que celle-ci n'ait reçue un seul paquet en provenance de l'attaquant.

On peut noter que la machine vulnérable n'est pas celle qui est attaquée, mais est la machine qui sert à mener l'attaque.
Full Vigil@nce bulletin... (Free trial)
Our database contains other pages. You can request a free trial to read them.

Display information about Protocol IP: