Cette faille, qui affecte les version de Linux allant des versions 2.4.14 à 2.4.18-pre9, est située dans une composante du logiciel pare-feu Netfilter. Cette composante est impliquée quand deux utilisateurs d'ordinateurs discutent entre eux via le sytème "Internet Relay Chat (IRC)".
Tous les détails sur le lien...
Aller plus loin
- Les détails sur la faille sur news.com (391 clics)
# Un lien plus direct et plus technique
Posté par Anonyme . Évalué à 10.
(on le trouve sur la dépèche de news.com)
PS: ça m'étonne de la part de Naxale une news aussi avare d'informations ;)
[^] # Merci pour l info;) En résumé
Posté par Code34 (site web personnel) . Évalué à 10.
@+
Code34
[^] # Re: Merci pour l info;) En résumé
Posté par PLuG . Évalué à 2.
faudrait se tenir plus au courant :-))
-1 ca fait pas avancer le schmilblick
[^] # Re: Merci pour l info;) En résumé
Posté par zeDek . Évalué à 9.
Et autre point est-ce qu'il éxiste un patch pour cette version ?
Merci
[^] # Re: Merci pour l info;) En résumé
Posté par Anonyme . Évalué à 10.
[^] # Re: Merci pour l info;) En résumé
Posté par zeDek . Évalué à 2.
[^] # Re: Merci pour l info;) En résumé
Posté par Junior . Évalué à 4.
Etant donné que le 2.4.18 a été arrêté au 25/02, je pense que oui tu as le droit de patcher ton noyau.
[^] # Re: Merci pour l info;) En résumé
Posté par Gaël Le Mignot . Évalué à 10.
[^] # Re: Un lien plus direct et plus technique
Posté par kalahann . Évalué à 9.
# IRC ?...
Posté par VACHOR (site web personnel) . Évalué à 4.
Le jour où j'autoriserai l'IRC à travers un firewall important, il fera chaud ;-) !...
(C'est quand même bien sur utile d'avoir de genre news.)
[^] # Re: IRC ?...
Posté par Annah C. Hue (site web personnel) . Évalué à -10.
Si on a besoin de sécurité, on ne va pas utiliser un logiciel libre, on utilise un programme qui est, dès la conception, orienté sécurité.
Donc il faut bien s'attendre un jour ou l'autre a des grosses failles dans netfilter ou ipchains, alors qu'il existe des logiciels de coupe-feu bien supérieurs, comme checkpoint fw-1 ou cisco PIX.
De plus, le source de ces pseudo-filtres étant ouvert, il est bien plus facile pour les hackers d'y trouver des failles qu'ils ne manqueront pas d'exploiter.
Les décideurs ayant un minimum de jugeotte l'auront bien compris : si on veut de la sécurité, il faut payer un vrai logiciel de firewall, avec un vrai support commercial, c'est cher mais au moins on n'est pas déçu.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: IRC ?...
Posté par nodens . Évalué à -2.
Allez, hop, -1 histoire de voir si y'en a un qui marche dedans :-)
[^] # Re: IRC ?...
Posté par Benoit Rousseau . Évalué à 0.
C'est pas parcequ'on a un logiciel dont les sources ne sont pas disponibles et qu'il faut payer qu'il sera plus sur, non?
(Meme si c'est pas trop vrai dans le cas presente ici...)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: IRC ?...
Posté par Annah C. Hue (site web personnel) . Évalué à -1.
[^] # Re: IRC ?...
Posté par Cédric Foll . Évalué à 4.
ICAT nous dit (en faite la bd CVE)
au cours de la dernière année:
FW-1:
-Buffer overflow remote sur la page d'admin (pas trop grave, peut d'IP doivent pouvoir y accéder)
-DoS (CPU 100%) en foodant port 264 (grave)
-DoS (CPU 100%+log énorme) dans certains cas avec des ip spoofés
PIX:
-Denis de service via un flood sur le serveur d'auth
-IP disclosure des serveur FTP
-Pb avec SMTP
IPTable:
-prob avec le module ftp qui permet une fois un serveur ftp à l'interieur du réseau de compromis de faire ce que l'on veut (très grave)
-le pb avec irc
Donc tous on autant de pb visiblement.
Mais l'avantage du libre: si il y a un pb tout le monde le sait tout de suite (pas juste les services secrets israéliens pour FW-1 ou la NSA pour Cisco), et je ne parle pas des éventuelles Back-Doors...
Tout est fait dans la TRANSPARENCE avec le libre.
Honnetement, c'était de la pure provoc ou tu crois vraiment à ce que tu dis ???
[^] # Re: IRC ?...
Posté par Annah C. Hue (site web personnel) . Évalué à 6.
Honnetement, c'était de la pure provoc ou tu crois vraiment à ce que tu dis ???
J'utilise openbsd+[i]pf pour mes firewalls filtrants, et debian pour les proxies :-)
Quant à pix et fw1; je les laisse à ceux qui préfèrent acheter une usine à clic plutôt que quelques journées d'expertise...
[^] # Re: IRC ?...
Posté par Cédric Foll . Évalué à 0.
# Précisions sur la faille
Posté par Christophe --- . Évalué à 10.
à les lire, on dirait une mise en péril de la sécurité complète :)
La faille est lasuivante :
Le module 'espionne' les connections IRC pour y détecter les demandes de connections directs (DCC)
Quand il en voie, il ouvre alors le port correspondant dans le pare-feu. La 'faille' est qu'il l'ouvre pour *toutes* les adresses, au lieu de seulement celle demandée.
Alors je me pose la question :
Au niveau exploitation, ça donne quoi ?
Eh bien... pas grand chose. Cela veut dire que n'importe qui peut donc passer le pare-feu à travers ce port... àcondition de le connaitre, déjà. Et d'avoir quelqu'un qui écoute de l'autre côté.
Pour conclure, je ne dirait pas que cette faille est inexploitable, mais je doute que l'on puisse en tirer vraiment partie... (sauf coup de chance, et en connaissant l'architecture réseau derrière...)
[^] # Re: Précisions sur la faille
Posté par PLuG . Évalué à 10.
On peux se servir de cette faille pour "s'échapper" d'un firewall.
Par exemple imaginons que je veuille faire du napster. sympa mais personne ne peux se connecter sur ma machine parceque ce p...n d'admin qui fait le malin avec son linux a mis un firewall debian fait a la main.
comme il a laissé le module conntrack_irc, je vais fabriquer un paquet irc spécial qui va demander au firewall de laisser entrer le port qui va bien pour toutes les machines internes et toute la boite pourra faire partie du reseau napster ...
meme chose avec le port 80, 25, 21 ... voir 23 tien, pourquoi je laisserai pas mon poste carrement ouvert a l'exterieur en telnet ??
d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse faire tout ce qu'il veut en passant par mon proxy. NA.
Bon de toutes manieres, laisser irc sur un firewall avec un vrai LAN derriere ... c'est le résultat de politiques comme "notre interface reflechit pour vous, pas besoin d'etre admin pour ca", en clair ca ne devrait pas exister sous linux d'ailleur cette faille n'a pas fait de bruit...
[^] # Re: Précisions sur la faille
Posté par Kyrill Guiborsky . Évalué à -2.
> d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse
> faire tout ce qu'il veut en passant par mon proxy. NA.
Tout à fait. C'est ce que j'appelle le "major design flaw" de Netfilter.
Content de voir qu'il y en a qui suivent, ipfilter roulaize
Hop, -1
[^] # Use the source, Luke !
Posté par Christophe --- . Évalué à 1.
La seule différence est au niveau de l'adresse IP destination. En effet, le "trou de sécurité" consistait en l'ouverture du port pour tout le réseau, alors que maintenant, le port est ouvert uniquement pour la machine qui est connecté au serveur IRC et qui à envoyé la commande DCC.
Par rapport à ton point de vue et ton exemple, je concluerais donc qu'il est toujours possible de faire des trous dans le pare-feu grâce à ce module. Mais si l'on réfléchit un peu, on voie que malheureusement c'est son but. Il suppose en fait que la partie interne du réseau soit de confiance. (ie: pas d'utilisateurs qui puissent avoir les droits root, et chacun ayant une notion de savoir vivre...)
Pour terminer, je dirais que de toutes manière, la seule chose qui devrait être dynamique sur un pare-feu, c'est la fermeture automatique de port, par exemple en cas de détection de port scan, mais certainement pas l'ouverture de ports.
PS: je pense que ta remarque devrait être mise en bonne place dans les guides d'introduction à la sécurité pour Linux, afin que les administrateurs soient conscient de cela.
[^] # Re: Use the source, Luke !
Posté par PLuG . Évalué à 1.
Ma remarque n'etait pas motivée par le bug en question uniquement (en fait le bug porte sur un masque qui a "oublie" de fixer l'IP destination).
Il faudrait ameliorer les modules conntrack pour decortiquer les protocoles qui passent dans le port ouvert. Si j'autorise le DCC irc, y a pas de raison de laisser passer du SSL natif (bon ok, avec une machine complice a l'exterieur, tout est toujours possible, par exemple encapsuler le SSL dans des faux fichiers qui passent en vrai DCC).
Bref la securite c'est pas simple quand les utilisateurs veulent avoir accès a tout un tas de protocoles.
Si j'avais du temps, je me pencherai bien sur la validation des protocoles. Il faudrait pouvoir dire: j'ai autorisé le port 80, si c'est autre chose que de l'HTTP couic on ferme.
d'ailleur cela devrait etre en userland a brancher sur le module iptables qui demande la validation a un process userland ....
faut murir le projet :-)
# voter pour moi
Posté par Jacques CHIRAC . Évalué à -6.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.