Recientemente han aparecido dos vulnerabilidades sobre
Netfilter/Iptables que se distribuye como subsistema de cortafuegos
con los núcleos más recientes de linux (2.4, 2.5). Este otorga la
posibilidad tanto de filtrado y manejo de paquetes como distintos
tipos de NAT (traducción de direcciones de red).
El primer tipo de DoS afecta a los núcleos 2.4.20 y los últimos 2.5
con CONFIG_IP_NF_NAT_FTP o CONFIG_IP_NF_NAT_IRC activados o con los
módulos de ip_nat_ftp o ip_nat_irc cargados cuando los paquetes de
tanto de ftp como de irc no están prohibidos.
Se recomienda actualizar a la última versión del núcleo, en caso de no
ser posible siempre se puede prohibir la iniciación de conexiones NAT
de irc y ftp a usuarios que carecen de nuestra confianza.
El segundo tipo de DoS solo afecta a los núcleos 2.4.20 con
CONFIG_IP_NF_CONNTRACK activado o el modulo ip_conntrack cargado. El
problema viene dado tras los cambios introducidos en esta versión en
las listas enlazadas y la asignación de un timeout muy alto para las
conexiones no confirmadas (aquellas que han pasado únicamente en una
dirección y aun no en la otra).
Igualmente desde Hispasec recomendamos actualizar a la última versión
para atajar ambos problemas. Es posible también aplicar los parches
disponibles en las notas de alertas que enlazamos mas abajo.
fsantos@hispasec.com
Más información:
Netfilter Security Advisory: NAT Remote DOS (SACK mangle)
http://www.netfilter.org/security/2003-08-01-nat-sack.html
Netfilter Security Advisory: Conntrack list_del() DoS
http://www.netfilter.org/security/2003-08-01-listadd.html
Deja un comentario