Faille de sécurité dans Netfilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
17
avr.
2001
Sécurité
Une faille de sécurité vient d'etre découverte dans le firewall des noyaux 2.4 (Netfilter) . Si vous utilisez le module ip_conntrack_ftp, un attaquant est en mesure de s'affranchir du filtrage vers le serveur sur n'importe quels ports. Il peut par exemple se connecter en telnet sur la machine hébergeant un FTP depuis l'extérieur, meme si cette règle a été interdite. Les machines effectuant du masquerading sont tout aussi touchées.

Aller plus loin

  • # Encore, encore et toujours...

    Posté par  . Évalué à 0.

    Voilà ce qui arrive quand recommence tout à chaque fois: le programme n'a pas le temps de mûrir.

    Cette vulnérabilité est assez basique, elle a existé dans d'autres pare-feux... dans l'ancien temps. Il est invraisemblable de voir quelque chose d'aussi classique revenir. Ne parlons pas du suivi des connexions, et des autres bogues à venir.

    Message aux développeurs du noyau: choisissez une syntaxe, un ensemble de fonctionnalités, un code de base, et gardez les!

    Ras le bol de la syntaxe qui change à chaque noyau, et des bogues divers et variés qui recommencent.

    • [^] # Re: Encore, encore et toujours...

      Posté par  . Évalué à 0.

      hrm hrm, netfilter a quand meme apporte bcp de fonctionnalites qui n'existaient pas (ou pas directement avec ipchains) donc on comprend la réecriture
      Pour la syntaxe, elle est tres approchante et pour l'instant j'ai pas entendu beaucoup de bugs - depuis que c'est stable bien sur.
      Je pense qu'avec un kernel 2.4 on a *seulement* maintenant un firewall a la hauteur (compare aux fonctionnalites des *bsd) qu'il est de mauvais gout de critiquer

    • [^] # Re: Encore, encore et toujours...

      Posté par  . Évalué à 0.

      Tu as bien raison de faire passer ton message ici. Il est en effet bien connu que quasiment tous les développeurs du noyeau lisent linuxfr tous les jours, et ne manquent pas un seul des commentaires plein de bon sens qui suivent chaque news ;-p
      Ils ont donc bien compris que s'il se vautrent sur la première mouture d'un bidule, ce qui arrive très peu comme chacun sait ;-) , il est essentiel qu'ils continuent à améliorer le vieux machin pour en faire une merde bien stable plutôt que de partir sur un truc bien né, et avoir des pb de jeunesse.

    • [^] # Re: Encore, encore et toujours...

      Posté par  . Évalué à 1.

      [ je réponds un peu à tout le monde, là ]


      Bon, pour l'histoire de changer de syntaxe à chaque version, Anonyme 1 a au moins en partie raison: j'ai jamais bien compris l'utilité d'ipchains comme intermédiaire entre ipfwadm et netfilter/iptables.

      Maintenant, faut aussi de temps en temps etre capable de dire "bon, on a fait un truc pas top, alors on oublie et on recommence". Des fois, ca permet d'avoir un produit final pas mal...


      Pour ce qui est de "on a *seulement* maintenant un firewall a la hauteur (compare aux fonctionnalites des *bsd)", non, c'est pas encore vrai. On y sera pas avant d'avoir un *vrai* statefull complet, qui risque d'apporter son lot de bugs au début....



      Et enfin.... je suis pas sur non plus que l'équipe netfilter lise attentivement tous les posts et commentaires de LinuxFr.... mais bon, ce post les concerne directement, avec un peu de chance :-)


      A +

      VANHU.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.