certfr_avis - CERTA-2002-AVI-100

CERTA-2002-AVI-100

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité présente dans l'implémentation de iptables permet à un utilisateur mal intentionné de retrouver la topologie d'un réseau local si la traduction d'adresses est utilisée.

Description

iptables est un des composants utilisés pour le filtrage des paquets réseau sur les noyaux Linux supérieurs à la version 2.4.x. Ce garde barrière permet également d'effectuer de la traduction d'adresses (NAT) vers un réseau local.

Un utilisateur mal intentionné peut, par le biais de paquets malicieusement construits, provoquer des messages d'erreurs ICMP. Ces messages d'erreurs peuvent contenir les adresses IP des machines du réseau interne, accompagnées des ports en écoute sur ces machines.

Contournement provisoire

Il n'existe pas de correctif disponible pour le moment, cependant il est possible de contourner le problème en appliquant la règle de filtrage suivante :

iptables -A OUTPUT -m state -p icmp -state INVALID -j DROP

Versions iptables antérieures à la version 1.2.6a.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité 20020402 de CARTEL	None	vendor-advisory
Bulletin de sécurité MDKSA-2002:030 de Mandrake :	-	other
Bulletin de sécurité RHSA-2002:086 de Redhat :	-	other
Bulletin de sécurité 20020402 de Cartel :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eVersions \u003cTT\u003eiptables\u003c/TT\u003e ant\u00e9rieures  \u00e0 la version \u003cTT\u003e1.2.6a\u003c/TT\u003e.\u003c/p\u003e",
  "content": "## Description\n\niptables est un des composants utilis\u00e9s pour le filtrage des paquets\nr\u00e9seau sur les noyaux Linux sup\u00e9rieurs \u00e0 la version 2.4.x. Ce garde\nbarri\u00e8re permet \u00e9galement d\u0027effectuer de la traduction d\u0027adresses (NAT)\nvers un r\u00e9seau local.\n\nUn utilisateur mal intentionn\u00e9 peut, par le biais de paquets\nmalicieusement construits, provoquer des messages d\u0027erreurs ICMP. Ces\nmessages d\u0027erreurs peuvent contenir les adresses IP des machines du\nr\u00e9seau interne, accompagn\u00e9es des ports en \u00e9coute sur ces machines.\n\n## Contournement provisoire\n\nIl n\u0027existe pas de correctif disponible pour le moment, cependant il est\npossible de contourner le probl\u00e8me en appliquant la r\u00e8gle de filtrage\nsuivante :\n\niptables -A OUTPUT -m state -p icmp -state INVALID -j DROP\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 MDKSA-2002:030 de Mandrake :",
      "url": "http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-030.php"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RHSA-2002:086 de Redhat :",
      "url": "http://rhn.redhat.com/errata/RHSA-2002-086.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 20020402 de Cartel :",
      "url": "http://netfilter.samba.org/security/2002-04-02-icmp-dnat.html"
    }
  ],
  "reference": "CERTA-2002-AVI-100",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-05-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation d\u0027informations sur la topologie du r\u00e9seau"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans l\u0027impl\u00e9mentation de iptables permet \u00e0 un\nutilisateur mal intentionn\u00e9 de retrouver la topologie d\u0027un r\u00e9seau local\nsi la traduction d\u0027adresses est utilis\u00e9e.\n",
  "title": "Vuln\u00e9rabilit\u00e9 sur Netfilter (iptables)",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 20020402 de CARTEL",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted