CERTA-2001-AVI-138

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité dans l'implémentation du mécanisme SYNCOOKIES du noyau Linux permet à un utilisateur mal intentionné de réaliser des connexions non autorisées sur un système réalisant un filtrage de connexions "à état" basé sur le drapeau SYN.

Description

Un système peut utiliser le mécanisme SYNCOOKIES pour se protéger des attaques par déni de service de type TCP-SYN-FLOOD.

La commande sysctl net.ipv4.tcp_syncookies ou cat /proc/sys/net/ipv4/tcp_syncookies permet de voir si les SYNCOOKIES sont utilisés sur le système (0 signifie que le mécanisme est désactivé).

Une vulnérabilité dans l'implémentation du mécanisme SYNCOOKIES du noyau Linux permet à un utilisateur mal intentionné de réaliser des connexions non autorisées sur un système réalisant un filtrage de connexions "à état" basé sur le drapeau SYN (options -y pour ipchains ou -syn pour iptables).

L'exploitation de cette vulnérabilité n'est toutefois possible que si une attaque de type TCP-SYN-FLOOD est déclenchée sur un port non filtré, entraînant du même coup la mise en oeuvre des SYNCOOKIES pour les ports filtrés.

Contournement provisoire

Dans l'attente de la mise à jour du noyau Linux, désactiver le mécanisme SYNCOOKIES au moyen de la commande sysctl -w net.ipv4.tcp_syncookies=0 ou echo 0 > /proc/sys/net/ipv4/tcp_syncookies.

Solution

Consultez l'éditeur pour obtenir une mise à jour correspondant à votre distribution.

Systèmes Linux utilisant l'option SYNCOOKIES et le filtrage de connexions "à état" basé sur le drapeau SYN.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eSyst\u00e8mes Linux utilisant l\u0027option  SYNCOOKIES et le filtrage de connexions \"\u00e0 \u00e9tat\" bas\u00e9 sur le  drapeau SYN.\u003c/p\u003e",
  "content": "## Description\n\nUn syst\u00e8me peut utiliser le m\u00e9canisme SYNCOOKIES pour se prot\u00e9ger des\nattaques par d\u00e9ni de service de type TCP-SYN-FLOOD.\n\nLa commande sysctl net.ipv4.tcp_syncookies ou cat\n/proc/sys/net/ipv4/tcp_syncookies permet de voir si les SYNCOOKIES sont\nutilis\u00e9s sur le syst\u00e8me (0 signifie que le m\u00e9canisme est d\u00e9sactiv\u00e9).  \n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation du m\u00e9canisme SYNCOOKIES du noyau\nLinux permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser des connexions\nnon autoris\u00e9es sur un syst\u00e8me r\u00e9alisant un filtrage de connexions \"\u00e0\n\u00e9tat\" bas\u00e9 sur le drapeau SYN (options -y pour ipchains ou -syn pour\niptables).\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 n\u0027est toutefois possible que si\nune attaque de type TCP-SYN-FLOOD est d\u00e9clench\u00e9e sur un port non filtr\u00e9,\nentra\u00eenant du m\u00eame coup la mise en oeuvre des SYNCOOKIES pour les ports\nfiltr\u00e9s.\n\n## Contournement provisoire\n\nDans l\u0027attente de la mise \u00e0 jour du noyau Linux, d\u00e9sactiver le m\u00e9canisme\nSYNCOOKIES au moyen de la commande sysctl -w net.ipv4.tcp_syncookies=0\nou echo 0 \\\u003e /proc/sys/net/ipv4/tcp_syncookies.\n\n## Solution\n\nConsultez l\u0027\u00e9diteur pour obtenir une mise \u00e0 jour correspondant \u00e0 votre\ndistribution.\n",
  "cves": [],
  "links": [
    {
      "title": "\"SYN cookies\"      \n;",
      "url": "http://cr.yp.to/syncookies.html"
    }
  ],
  "reference": "CERTA-2001-AVI-138",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-11-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation du m\u00e9canisme SYNCOOKIES du noyau\nLinux permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser des connexions\nnon autoris\u00e9es sur un syst\u00e8me r\u00e9alisant un filtrage de connexions \"\u00e0\n\u00e9tat\" bas\u00e9 sur le drapeau SYN.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des SYNCOOKIES dans le noyau Linux",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 SuSE-SA:2001:039",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.