Site web ikoula

Ajouter un commentaire

[news sécurité] Faille de sécurité TCP (RFC 5961) dans le noyau Linux CVE-2016-5696

Soumis par thomas 19Aug
2016

Une vulnérabilité vient d’être rendue publique il y a peu. Cette dernière impactant directement le noyau Linux.

Que permet-elle ?

Bien exploitée cette dernière permettrait à une personne malintentionnée d'injecter un paquet TCP pouvant interagir avec une session .

Depuis quand existe-t-elle ?

Cette faille découle de l'implémentation de la RFC 5961 dans le noyau linux ayant eu lieu en octobre 2012 (Source).

Pour enfin arriver en juillet/août 2016 ou la chose est enfin rendue publique (création des CVEs et correctif).

Comment vérifier si je suis impacté ?

L'impact de la faille dépend du noyau présent sur votre serveur.

Une méthode simple permettant de vérifier si votre serveur est potentiellement impacté est de vérifier qu'une certaine clé existe bien.

La commande étant la suivante:

sysctl -a | grep tcp_challenge_ack_limit

L'impact est confirmé si jamais vous avez un retour du type:

net.ipv4.tcp_challenge_ack_limit = 100

La valeur par défaut pour un serveur impacté étant normalement 100, cette dernière ayant été augmentée a 1000 dans le patch correctif.

Vous pouvez trouver plus d'information selon votre système d’exploitation sur les liens suivants:

- Debian
- CentOS/RedHat

Vous pouvez trouver plus d’explication sur le lien suivant : http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html

Comment la corriger ?

Certaines distributions ne possèdent, pour le moment, pas de mise à jour permettant de corriger ceci.

Il est possible, dans ce type de cas, de mitiger l'attaque en modifiant la valeur de l'option tcp_challenge_ack_limit citée ci-dessus.

Ceci pouvant être fait, par exemple, via les commandes:

sysctl net.ipv4.tcp_challenge_ack_limit=999999999

echo "net.ipv4.tcp_challenge_ack_limit=999999999" >> /etc/sysctl.conf

Le correctif se trouve déjà présent dans les noyaux en version 4.7 et supérieur (Source).

Nous vous conseillons toutefois de consulter le site du système d’exploitation que vous utilisez afin de savoir si le correctif a été implémenté.

Important :

L’option net.ipv4.tcp_challenge_ack_limit est une sécurité empêchant un certain type d’attaque. Il est donc important de penser à retirer la modification faites ici une fois votre système patché.

Sans cela l’utilité de l’option est nulle.

Si vous disposez d'une prestation mutualisée ou en infogérance complète sachez que nos équipes ont déjà fait le nécessaire.


CookiesVie privée