{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Syst\u00e8mes Linux utilisant l'option  SYNCOOKIES et le filtrage de connexions \"\u00e0 \u00e9tat\" bas\u00e9 sur le  drapeau SYN.</p>","content":"## Description\n\nUn syst\u00e8me peut utiliser le m\u00e9canisme SYNCOOKIES pour se prot\u00e9ger des\nattaques par d\u00e9ni de service de type TCP-SYN-FLOOD.\n\nLa commande sysctl net.ipv4.tcp_syncookies ou cat\n/proc/sys/net/ipv4/tcp_syncookies permet de voir si les SYNCOOKIES sont\nutilis\u00e9s sur le syst\u00e8me (0 signifie que le m\u00e9canisme est d\u00e9sactiv\u00e9).  \n\nUne vuln\u00e9rabilit\u00e9 dans l'impl\u00e9mentation du m\u00e9canisme SYNCOOKIES du noyau\nLinux permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser des connexions\nnon autoris\u00e9es sur un syst\u00e8me r\u00e9alisant un filtrage de connexions \"\u00e0\n\u00e9tat\" bas\u00e9 sur le drapeau SYN (options -y pour ipchains ou -syn pour\niptables).\n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 n'est toutefois possible que si\nune attaque de type TCP-SYN-FLOOD est d\u00e9clench\u00e9e sur un port non filtr\u00e9,\nentra\u00eenant du m\u00eame coup la mise en oeuvre des SYNCOOKIES pour les ports\nfiltr\u00e9s.\n\n## Contournement provisoire\n\nDans l'attente de la mise \u00e0 jour du noyau Linux, d\u00e9sactiver le m\u00e9canisme\nSYNCOOKIES au moyen de la commande sysctl -w net.ipv4.tcp_syncookies=0\nou echo 0 \\> /proc/sys/net/ipv4/tcp_syncookies.\n\n## Solution\n\nConsultez l'\u00e9diteur pour obtenir une mise \u00e0 jour correspondant \u00e0 votre\ndistribution.\n","cves":[],"links":[{"title":"\"SYN cookies\"      \n;","url":"http://cr.yp.to/syncookies.html"}],"reference":"CERTA-2001-AVI-138","revisions":[{"description":"version initiale.","revision_date":"2001-11-07T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans l'impl\u00e9mentation du m\u00e9canisme SYNCOOKIES du noyau\nLinux permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser des connexions\nnon autoris\u00e9es sur un syst\u00e8me r\u00e9alisant un filtrage de connexions \"\u00e0\n\u00e9tat\" bas\u00e9 sur le drapeau SYN.\n","title":"Vuln\u00e9rabilit\u00e9 des SYNCOOKIES dans le noyau Linux","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 SuSE-SA:2001:039","url":null}]}