S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 mai 2002
N° CERTA-2002-AVI-100
Affaire suivie par: CERT-FR
le 15 mai 2002

Avis du CERT-FR

Objet: Vulnérabilité sur Netfilter (iptables)

Gestion du document

Référence CERTA-2002-AVI-100
Titre Vulnérabilité sur Netfilter (iptables)
Date de la première version 15 mai 2002
Date de la dernière version 15 mai 2002
Source(s) Bulletin de sécurité 20020402 de CARTEL
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Divulgation d'informations sur la topologie du réseau.

Systèmes affectés

Versions iptables antérieures à la version 1.2.6a.

Résumé

Une vulnérabilité présente dans l'implémentation de iptables permet à un utilisateur mal intentionné de retrouver la topologie d'un réseau local si la traduction d'adresses est utilisée.

Description

iptables est un des composants utilisés pour le filtrage des paquets réseau sur les noyaux Linux supérieurs à la version 2.4.x. Ce garde barrière permet également d'effectuer de la traduction d'adresses (NAT) vers un réseau local.

Un utilisateur mal intentionné peut, par le biais de paquets malicieusement construits, provoquer des messages d'erreurs ICMP. Ces messages d'erreurs peuvent contenir les adresses IP des machines du réseau interne, accompagnées des ports en écoute sur ces machines.

Contournement provisoire

Il n'existe pas de correctif disponible pour le moment, cependant il est possible de contourner le problème en appliquant la règle de filtrage suivante :

iptables -A OUTPUT -m state -p icmp -state INVALID -j DROP

Documentation

Gestion détaillée du document

    le 15 mai 2002
    version initiale.