Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Actualización urgente de IP Filter

Actualización urgente de IP Filter

Por Deja un comentario

Las versiones de IP Filter previas a 3.4.17 o la 3.3.22 son susceptibles
a un ataque que permite alcanzar puertos TCP y UDP teóricamente
protegidos por el cortafuegos.
IP Filter es un cortafuegos de paquetes disponible para varias
plataformas, hasta el punto de convertirse en el firewall nativo de
la familia *BSD. Funciona también en Solaris, IRIX, HP-UX y otros.

La vulnerabilidad descubierta posibilita que un atacante malicioso pueda
alcanzar puertos protegidos por el cortafuegos, siempre que tenga acceso
a algún puerto “inofensivo”.

El ataque se basa en “polucionar” una caché utilizada para no tener que
revisar todas las reglas con cada datagrama, mediante el uso de
datagramas fragmentados hacia puertos permitidos. Dichos datagramas
crean entradas en la caché que harán que a una trama maliciosa posterior
no se le apliquen las reglas, ya que tiene una entrada en la “caché”.

El ataque puede llevarse a cabo incluso si el cortafuegos se configura
para filtrar cualquier datagrama fragmentado.

Se recomienda actualizar las instalaciones de IP Filter con 3.3.x a
3.3.22 o superior, y las de 3.4.x a 3.4.17 o superior.

Los usuarios que no puedan actualizar el cortafuegos pueden deshabilitar
las funciones de “caching” del mismo y eliminar esta vulnerabilidad
mediante el uso de herramientas como “adb”, “gdb” o “kgdb” y con
la asignación del valor 1000000 a la variable “ipfr_inuse”. El valor en
concreto no es importante; basta con que sea un entero mayor que
IPFT_SIZE.

Esta modificación del cortafuegos “en caliente” no se puede realizar en
*BSD si “securelevel” tiene un valor mayor que 0.

En una de las URLs que aparecen en la sección de información adicional
se incluyen parches a aplicar sobre el código fuente original de IP
Filter, en caso de que no se pueda actualizar a las versiones inmunes.

Jesús Cea Avión
jcea@hispasec.com

Más información:

IPFilter Fragment Rule Bypass Vulnerability:
http://www.securityfocus.com/bid/2545

IP Filter:
http://coombs.anu.edu.au/~avalon/ip-filter.html

URGENT: Serious bug in IPFilter:
http://false.net/ipfilter/2001_04/0087.html

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.