Problèmes dans BIND et TCP

Posté par Anonyme le 13 mars 2001 à 10:47. Modéré par Fabien Penso.

Étiquettes :

mar.

2001

Deux news sécurité:
- Problème dans TCP: Des chercheurs ont trouvé une serieuse faille dans l'une des pièces maitresses d'Internet. Guardent, "vendeur" de sécurité, a annoncé lundi avoir identifié un gros problème protentiel dans le protocole TCP. Il s'agirait d'un problème similaire a celui present sur les IOS Cisco a propos de la génération "aléatoire" du ISN.

- Problème dans BIND: Un petit nombre d'utilisateurs voulant mettre à jour leur serveurs DNS par rapport au recent exploit dans BIND se sont heurtés à un Denial of Service. Le problème interviendrait lors du passage de BIND 4.9.x ou 8.2.x à 9.1.0. Le DoS serait, par exemple, provoqué par les scans NMAP et causerait des coupures intermittentes du service.

Aller plus loin

ZDNET (pour TCP) (1 clic)
TheRegister (pour BIND) (1 clic)

# IP Spoofing

Posté par Anonyme le 13 mars 2001 à 11:07. Évalué à 0.

Ce probleme de TCP n'est absolument pas nouveau,
C'est pour ca que l'IP spoofing a des chances de marcher (voir phrack 48). Cependant la plus part des OS sont immunises contre cette technique.

recherche google ...
http://proxys4all.cgi.net/archive/IPSpoofing.txt(...)
- [^] # Re: IP Spoofing
  
  Posté par Loic Jaquemet le 13 mars 2001 à 11:14. Évalué à 1.
- TCP
- Bind

[^] # TCP sequence prediction, RFC 1948

Posté par Annah C. Hue (site web personnel) le 13 mars 2001 à 11:22. Évalué à 1.

C'est le problème de la prédiction des numéros de séquence, qui doivent être le plus aléatoire possible. Sous linux, rien à craindre de ce coté là. Pour savoir si votre OS est vulnérable, faites un nmap -O your_host. C'est un problème vieux comme TCP...

La RFC 1948 en parlait en 1996, c'est dire.

La société Guardant (inconnue au demeurant) a voulu faire un coup de pub. Même zdnet a rectifié sa news...

[^] # Re: TCP sequence prediction, RFC 1948

Posté par Benoît Sibaud (site web personnel) le 13 mars 2001 à 12:01. Évalué à 1.

TCP Sequence Prediction: Class=random positive increments
Difficulty=2401409 (Good luck!)
Remote operating system guess: Linux 2.1.122 - 2.2.16
(c'est un 2.2.17 en fait)

TCP Sequence Prediction: Class=random positive increments
Difficulty=55800 (Worthy challenge)
Remote operating system guess: Sun Solaris 8 early acces beta through actual release

TCP Sequence Prediction: Class=random positive increments
Difficulty=42816 (Worthy challenge)
Remote operating system guess: Sun Solaris 8 early acces beta through actual release

TCP Sequence Prediction: Class=random positive increments
Difficulty=42396 (Worthy challenge)
Remote operating system guess: Solaris 2.6 - 2.7
(Solaris 7)

TCP Sequence Prediction: Class=random positive increments
Difficulty=26896 (Worthy challenge)
Remote operating system guess: Solaris 2.6 - 2.7
(Solaris 6)

TCP Sequence Prediction: Class=random positive increments
Difficulty=37482 (Worthy challenge)
Remote operating system guess: Solaris 2.5, 2.5.1
(Solaris 2.5.1)

TCP Sequence Prediction: Class=64K rule
Difficulty=1 (Trivial joke)
Remote operating system guess: HP-UX 9.01 - 9.07

TCP Sequence Prediction: Class=random positive increments
Difficulty=13944 (Worthy challenge)
Remote OS guesses: Windows 2000 RC1 through final release, Windows Millenium Edition v4.90.3000

TCP Sequence Prediction: Class=trivial time dependency
Difficulty=4 (Trivial joke)
Remote operating system guess: Windows NT4 / Win95 / Win98
- [^] # Re: TCP sequence prediction, RFC 1948
  
  Posté par Anonyme le 13 mars 2001 à 12:43. Évalué à 1.
  
  TCP Sequence Prediction: Class=truly random
  Difficulty=9999999 (Good luck!)
  Remote operating system guess: AIX 4.3.2.0 on an IBM RS/*
  - [^] # [PUB]
    
    Posté par Jean-Marc Saffroy le 13 mars 2001 à 15:24. Évalué à 1.
    
    TCP Sequence Prediction: Class=trivial time dependency
    Difficulty=0 (Trivial joke)
    
    * Remote OS Guess: Sega Dreamcast
    
    TCP Sequence Prediction: Class=64K rule
    Difficulty=1 (Trivial joke)
    
    * Remote OS Guess: AmigaOS AmiTCP/IP 4.3
    
    TCP Sequence Prediction: Class=random positive increments
    Difficulty=1558 (Medium)
    
    * Remote OS Guess: FreeBSD 2.2.1 - 3.2
    
    Le tout sur un Linux 2.4.2 patche... :)
    - [^] # Re: [PUB]
      
      Posté par Ramón Perez (site web personnel) le 13 mars 2001 à 16:49. Évalué à 1.
      
      TCP Sequence Prediction: Class=random positive increments
      Difficulty=26574 (Worthy challenge)
      Remote OS guesses: MacOS 9 on a Power Macintosh 7200/75, HP-UX B.11.00
      
      TCP Sequence Prediction: Class=trivial time dependency
      Difficulty=0 (Trivial joke)
      Remote operating system guess: HP LaserJet Printer
      
      TCP Sequence Prediction: Class=64K rule
      Difficulty=1 (Trivial joke)
      Remote operating system guess: MacOS 7.5.5 - 9
      
      TCP Sequence Prediction: Class=64K rule
      Difficulty=1 (Trivial joke)
      Remote operating system guess: HP-UX 10.20 E 9000/777 or A 712/60 with tcp_random_seq = 0
      
      TCP Sequence Prediction: Class=trivial time dependency
      Difficulty=1 (Trivial joke)
      Remote operating system guess: Cisco Catalyst 1900 switch or Netopia DSL/ISDN router or Bay 450
      
      TCP Sequence Prediction: Class=64K rule
      Difficulty=1 (Trivial joke)
      Remote operating system guess: SunOS 4.1.1 - 4.1.4 (or derivative)

# relents de moisi

Posté par syntaxerror le 13 mars 2001 à 11:31. Évalué à 1.

Que ne faut il faire pour faire parler de soi !
Recycler en niouze le problème de l'ISN qui est
abordé dans à peu près tous les papiers d'intro
aux techniques d'attaque TCP/IP, ça témoigne
d'un aplomb confondant. Chapeau !

Le communiqué original à propos de la trouvaille
du monsieur se trouve là:
http://www.guardent.com/pr2001-03-12-ips.html(...)

Remarque amusante dans l'article de ZDNet:

> And because the flaw has been known for so long, it's unlikely that there are many TCP
> implementations that are still vulnerable to such attacks.

Mais non, ce n'est pas unlikely, il reste quelques
implementations IP très vulnérable à ce type
d'attaques. Et même dans des OS très répandus...
Tiens, pas plus tard qu'hier, nmap m'a trouvé ça:
> TCP Sequence Prediction: Class=constant sequence number (!)
> Difficulty=0 (Trivial joke)
(non, ce n'est pas l'OS sur lequel il est de bon
ton de taper ici)

Pour ce qui est de BIND, il ne faudrait surtout
pas que le problème de DoS fasse retarder les
installation du fix de l'exploit précédent,
autrement plus grave.
Tiens, cette news là me préoccuperait davantage:

> Plan to charge for BIND security info
http://www.theregister.co.uk/content/archive/16687.html(...)

[^] # Re: relents de moisi

Posté par Loic Jaquemet le 13 mars 2001 à 13:10. Évalué à 1.

je pari que c'etait une imprimante epson..

# Bind...

Posté par j le 13 mars 2001 à 13:52. Évalué à 1.

Le DOS de Bind n'est pas nouveau non plus, et est facile à reproduire meme sans nmap.
Voici ce qui se passe normalement :

- Un nouveau client arrive
- Bind accepte une connexion
- Bind regarde d'ou vient la connexion
...
- Le client coupe la connexion

Cependant, avec une durée de connexion très courte (par exemple lors d'un TCP scan avec Nmap), voici ce qui se passe :

- Le client se connecte
- Bind accepte la connexion
- Le client se deconnecte
- Bind regarde d'où vient la connexion, sans vérifier si elle est encore là
- Bind tente de répondre, alors que l'adresse du client mémorisée est n'importe quoi.

Ce n'est que la n-ieme preuve que Bind a été écrit n'importe comment, sans vérification élémentaire des erreurs. Déplorable pour un logiciel censé etre très stable.

http://cr.yp.to(...) DJBdns n'est pas vulnérable à ce type d'attaque.

http://pureftpd.sourceforge.net(...) Pure-FTPd non plus :)

[^] # Re: Bind...

Posté par bmc le 13 mars 2001 à 18:51. Évalué à 1.

ah ah ah :)
quelle pub éhontée ;-)

Ceci dit, pureftpd est une merveille de stabilité et de performances, merci mille fois, continue à nous sortir des programmes comme ça, bientot (enfin, encore un peu de patience) j'espère pouvoir apporter ma pierre.Suffit plus qu'à apprendre à programmer correctement...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.