CERTA-2001-AVI-047

Vulnerability from certfr_avis - Published: - Updated:

IPTables est un des composants utilisé pour le filtrage des paquets réseaux.

Une erreur dans l'implémentation de IPTables permet à un attaquant de contourner les règles de filtrage mises en oeuvre par un pare-feu utilisant IPTables.

Ce contournement est possible dans le cas de connexions FTP marquées « related ».

Description

Avec IPTables, une règle de filtrage utilisant le mot clef « related » s'appliquera à un paquet initialisant une nouvelle connexion qui est en relation avec une connexion existante.

Le module ip_conntrack_ftp est chargé d'ajouter les connexions FTP définies par les commandes PORT et PASV à la table des connexions autorisées.

Le module ip_conntrack_ftp n'analysant pas correctement les paramètres de la commande PORT, un attaquant peut envoyer des paquets FTP à un serveur (à travers le pare-feu) en utilisant des adresses ip et ports tcp arbitraires afin d'ouvrir des trous dans le filtrage du pare-feu (ouvrir des ports normalement fermés conformément à la politique de sécurité en vigueur sur le site protégé par le pare-feu).

Contournement provisoire

Ne pas utiliser les connexions FTP « related ».

Solution

  • Un correctif est disponible :

    http://netfilter.samba.org/security-fix/ftp-security2.patch

  • RedHat 7.1 est livrée avec le module ip_conntrack_ftp incriminé mais n'utilise pas par défaut IPTables.

    http://www.redhat.com/support/errata/RHSA-2001-052.html

Tout système linux avec un des noyaux suivants:

  • kernel 2.4.3 ;
  • kernel 2.4.2 ;
  • kernel 2.4.1 ;
  • kernel 2.4.0-test1 ;
  • kernel 2.4.
Impacted products
Vendor Product Description
References
RHSA-2001:052-02 None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me linux avec un des noyaux suivants:\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003ekernel 2.4.3 ;\u003c/LI\u003e    \u003cLI\u003ekernel 2.4.2 ;\u003c/LI\u003e    \u003cLI\u003ekernel 2.4.1 ;\u003c/LI\u003e    \u003cLI\u003ekernel 2.4.0-test1 ;\u003c/LI\u003e    \u003cLI\u003ekernel 2.4.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nAvec IPTables, une r\u00e8gle de filtrage utilisant le mot clef \u00ab related \u00bb\ns\u0027appliquera \u00e0 un paquet initialisant une nouvelle connexion qui est en\nrelation avec une connexion existante.\n\nLe module ip_conntrack_ftp est charg\u00e9 d\u0027ajouter les connexions FTP\nd\u00e9finies par les commandes PORT et PASV \u00e0 la table des connexions\nautoris\u00e9es.\n\nLe module ip_conntrack_ftp n\u0027analysant pas correctement les param\u00e8tres\nde la commande PORT, un attaquant peut envoyer des paquets FTP \u00e0 un\nserveur (\u00e0 travers le pare-feu) en utilisant des adresses ip et ports\ntcp arbitraires afin d\u0027ouvrir des trous dans le filtrage du pare-feu\n(ouvrir des ports normalement ferm\u00e9s conform\u00e9ment \u00e0 la politique de\ns\u00e9curit\u00e9 en vigueur sur le site prot\u00e9g\u00e9 par le pare-feu).\n\n## Contournement provisoire\n\nNe pas utiliser les connexions FTP \u00ab related \u00bb.\n\n## Solution\n\n-   Un correctif est disponible :\n\n        http://netfilter.samba.org/security-fix/ftp-security2.patch\n\n-   RedHat 7.1 est livr\u00e9e avec le module ip_conntrack_ftp incrimin\u00e9 mais\n    n\u0027utilise pas par d\u00e9faut IPTables.\n\n        http://www.redhat.com/support/errata/RHSA-2001-052.html\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-AVI-047",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-04-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement des r\u00e8gles de filtrage de iptables"
    }
  ],
  "summary": "IPTables est un des composants utilis\u00e9 pour le filtrage des paquets\nr\u00e9seaux.\n\nUne erreur dans l\u0027impl\u00e9mentation de IPTables permet \u00e0 un attaquant de\ncontourner les r\u00e8gles de filtrage mises en oeuvre par un pare-feu\nutilisant IPTables.\n\nCe contournement est possible dans le cas de connexions FTP marqu\u00e9es \u00ab\nrelated \u00bb.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans IPTables sous linux 2.4",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "RHSA-2001:052-02",
      "url": "http://www.redhat.com/support/errata/RHSA-2001-052.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.