domingo, 29 de abril de 2001

Actualización urgente de IP Filter

Las versiones de IP Filter previas a 3.4.17 o la 3.3.22 son susceptibles
a un ataque que permite alcanzar puertos TCP y UDP teóricamente
protegidos por el cortafuegos.
IP Filter es un cortafuegos de paquetes disponible para varias
plataformas, hasta el punto de convertirse en el firewall nativo de
la familia *BSD. Funciona también en Solaris, IRIX, HP-UX y otros.

La vulnerabilidad descubierta posibilita que un atacante malicioso pueda
alcanzar puertos protegidos por el cortafuegos, siempre que tenga acceso
a algún puerto "inofensivo".

El ataque se basa en "polucionar" una caché utilizada para no tener que
revisar todas las reglas con cada datagrama, mediante el uso de
datagramas fragmentados hacia puertos permitidos. Dichos datagramas
crean entradas en la caché que harán que a una trama maliciosa posterior
no se le apliquen las reglas, ya que tiene una entrada en la "caché".

El ataque puede llevarse a cabo incluso si el cortafuegos se configura
para filtrar cualquier datagrama fragmentado.

Se recomienda actualizar las instalaciones de IP Filter con 3.3.x a
3.3.22 o superior, y las de 3.4.x a 3.4.17 o superior.

Los usuarios que no puedan actualizar el cortafuegos pueden deshabilitar
las funciones de "caching" del mismo y eliminar esta vulnerabilidad
mediante el uso de herramientas como "adb", "gdb" o "kgdb" y con
la asignación del valor 1000000 a la variable "ipfr_inuse". El valor en
concreto no es importante; basta con que sea un entero mayor que
IPFT_SIZE.

Esta modificación del cortafuegos "en caliente" no se puede realizar en
*BSD si "securelevel" tiene un valor mayor que 0.

En una de las URLs que aparecen en la sección de información adicional
se incluyen parches a aplicar sobre el código fuente original de IP
Filter, en caso de que no se pueda actualizar a las versiones inmunes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

IPFilter Fragment Rule Bypass Vulnerability:
http://www.securityfocus.com/bid/2545

IP Filter:
http://coombs.anu.edu.au/~avalon/ip-filter.html

URGENT: Serious bug in IPFilter:
http://false.net/ipfilter/2001_04/0087.html