Journal Un exploit pour OpenBSD

Posté par  (site web personnel) .
Étiquettes :
0
14
mar.
2007
Il semble bien que les développeurs d'OpenBSD vont devoir changer leur fier slogan "Une seule vulnérabilité à distance dans l'installation par défaut, durant plus de 10 ans !".
En effet une vulnérabilité liée à la gestion d'IPv6 vient d'être annoncée par Theo de Raadt (le leader du projet) => http://permalink.gmane.org/gmane.os.openbsd.misc/119638

Cette vulnérabilité peut conduire à une exécution de code à distance sur le système impacté ou bien à un déni de service (par kernel panic).
Je vous invite à lire sur le mail de Theo les échanges entre la team OpenBSD et le découvreur du bug. C'est très intéressant de suivre les allers-retours d'information et de mesurer les temps de réaction.

Le site de news d'OpenBSD annonce la nouvelle
=> http://undeadly.org/cgi?action=article&sid=2007031404070(...)

Les OS vulnérables sont :

OpenBSD 4.1 prior to Feb. 26th, 2006.
OpenBSD 4.0 Current
OpenBSD 4.0 Stable
OpenBSD 3.9
OpenBSD 3.8
OpenBSD 3.6
OpenBSD 3.1

Il est donc fortement recommandé de mettre à jour votre système si vous utilisez IPv6 (et si vous n'en avez pas l'usage mettez "block in inet6" dans votre pf.conf).

En conclusion on peut dire que, même si ce trou de sécurité est vexant, OpenBSD reste sans doute l'OS le plus sécurisé que vous puissiez utiliser.

  • # heu..

    Posté par  . Évalué à 2.

    On aurait été un vendredi, j'aurais dit : "trop gros, passera pas !"

    Trève de plaisanterie, j'ai eu à administrer il y a quelques années un firewall avec ipf, et franchement, j'ai trouvé la syntaxe de configuration très simple : moins de 5 minutes pour comprendre. On me donnerai à choisir entre la configuration d'ipf et la configuration d'iptables, je choisirais ipf (je ne parle que de configuration, pas du filtrage en lui-même).

    • [^] # Re: heu..

      Posté par  (site web personnel) . Évalué à 4.

      [mavie.com]
      salut.

      je connais pas ipf, personnellement j'utilise firehol qui permet de mettre en place un firewall iptables facilement avec des requêtes du style "server http https ssh accept".
      [/mavie.com]

    • [^] # Re: heu..

      Posté par  . Évalué à 8.

      Ça fait un baille qu'ipf (IPFilter) à dégagé d'OpenBSD. Maintenant c'est pf (Packet Filter). Néanmoins ils ont une syntaxe de configuration quasi équivalente.

    • [^] # Top 10 reasons IPTABLES is better than PF

      Posté par  (site web personnel) . Évalué à 7.

      10. Parsing IPTABLES config files excellent preparation for subsequent
      learning of Asian pictograph-based languages.

      9. Standard logging via syslogd helps eliminate clutter in /var/log.

      8. GPL prevents Steve Jobs from stealing your code.

      7. Simplistic man pages encourage development of social skills via mailing
      lists.

      6. Multiple distributions, versions, kernels, modules, plugins, etc. keep
      hackers confused as to exactly what they're attacking.

      5. "Mangle" just sounds so much more 133+ than "Scrub".

      4. Complexity of structure leads to more opportunities for obfuscation and
      subsequent job security.

      3. New and experimental kernel modules make life exciting again.

      2. GUI and Web based utilities mean that anyone can set one up without knowing
      what they're doing.

      And the number one reason IPTABLES is better than PF:

      1. No distracting arguments about whether to port it to OpenBSD.
      http://archive.openbsd.nu/?ml=openbsd-pf&a=2004-10&m(...)

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # "si vous utilisez IPv6"

    Posté par  (site web personnel) . Évalué à 4.

    Je crois qu'avec le besoin d'utiliser IPv6 cette faille ne fera pas grand bruit, vu qu'il y a encore peu d'usage large...

    Sondage improvisé : "utilisez vous IPv6 ?"

    Pour une véritable connexion s'entend... Pas pour faire communiquer votre fugu et votre cafetière.

    http://fr.wikipedia.org/wiki/Fugu pour ceux qui ne connaitraient pas référence

    • [^] # Re: "si vous utilisez IPv6"

      Posté par  . Évalué à 5.

      Sauf que
      OpenBSD systems using default installations are vulnerable because the
      default pre-compiled kernel binary (GENERIC) has IPv6 enabled and
      OpenBSD's firewall does not filter inbound IPv6 packets in its default
      configuration.
      However, in order to exploit a vulnerable system an attacker needs to
      be able to inject fragmented IPv6 packets on the target system's local
      network. This requires direct physical/logical access to the target's
      local network -in which case the attacking system does not need to have
      a working IPv6 stack- or the ability to route or tunnel IPv6 packets to
      the target from a remote network.


      Donc bon il y a un vrai risque pour certains.

    • [^] # Re: "si vous utilisez IPv6"

      Posté par  . Évalué à 2.

      Je crois qu'avec le besoin d'utiliser IPv6 cette faille ne fera pas grand bruit, vu qu'il y a encore peu d'usage large...

      C'est activé par defaut. Il suffit donc d'envoyer des packets IPv6 si tu es sur le meme reseau local que la machine pour passer root.

  • # c'est pas les seuls

    Posté par  . Évalué à 3.

    bien entendu une faille IPv6 s'est glissée dans le noyau Linux :

    http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20(...)
    et
    http://bugzilla.kernel.org/show_bug.cgi?id=8134

  • # Pendant ce temps sous Linux

    Posté par  (site web personnel) . Évalué à 2.

    Une recherche rapide pour Linux et IPv6 :
    http://www.frsirt.com/english/advisories/2006/4297 - DoS local (/proc/net/ip6_flowlabel)
    http://secunia.com/advisories/22731/ - IPv6 bypass filtering
    etc.

    Vous trouverez aussi des failles IPv6 pour Windows, FreeBSD, Postfix, Apache, etc. C'est pas parce que c'est OpenBSD qu'il faut crier au loup.

    Ayant manipulé de l'IPv6, je comprend que les implémentations sont encore bancales vu combien la technologie est complexe (ex: 128 bits par adresse au lieu de 32 bits). IPv6 est un pari sur l'avenir (le long terme). Accessoirement, beaucoup d'OS et logiciels sont "prêts" mais peu/pas testés.

    • [^] # Re: Pendant ce temps sous Linux

      Posté par  (site web personnel) . Évalué à 10.

      >>> C'est pas parce que c'est OpenBSD qu'il faut crier au loup.

      On ne crie pas au loup on fait juste un journal sur une faille exploitable à distance qui existe dans OpenBSD. Crier au loup signifie alerter pour rien...ce n'est pas le cas ici ! La faille est bien réelle et elle est annoncée par Theo en personne.
      Comme le slogan de cet OS clame à qui veut l'entendre qu'il n'y a eu qu'une seule faille de ce type en 10 ans il me semble que la découverte d'une seconde faille mérite d'être signalée. C'est justement parce que c'est rarissime qu'il faut vite réagir.
      La raison d'être d'OpenBSD est la sécurité et il est bon d'alerter rapidement les gens sur une possibilité d'exécution de code à distance (le pire du pire en matière de sécurité).

    • [^] # Re: Pendant ce temps sous Linux

      Posté par  . Évalué à 3.

      http://www.frsirt.com/english/advisories/2006/4297 - DoS local (/proc/net/ip6_flowlabel)

      Soumets ca a OpenBSD, on va te repondre que d'une part, c'est local et pas distant ; d'autre part que c'est un DoS et qu'un DoS n'est pas une vulnérabilité, parce qu'une vulnérabilité c'est seulement si ca permet l'execution de code arbitraire (cf. le résumé des discussions avec Core).

      La preuve, le fix pour un bug qui permettait de faire entrer le noyau dans une boucle infinie avec un paquet ICMP6 a été classé comme "reliability", pas "security".

      • [^] # Re: Pendant ce temps sous Linux

        Posté par  (site web personnel) . Évalué à 2.

        Soumets ca a OpenBSD, on va te repondre que d'une part, c'est local et pas distant ; d'autre part que c'est un DoS et qu'un DoS n'est pas une vulnérabilité

        Moi j'aurais plutôt tendance à dire qu'ils te repondront qu'ils ne s'occupent que des bugs de leur noyau et pas de ceux de linux.

  • # Only two remote holes in the default install, in more than 10 years

    Posté par  . Évalué à 10.

    Il semble bien que les développeurs d'OpenBSD vont devoir changer leur fier slogan "Une seule vulnérabilité à distance dans l'installation par défaut, durant plus de 10 ans !".

    C'est fait : http://www.openbsd.org/ dit maintenant « Only two remote holes in the default install, in more than 10 years! ».

  • # Remote TCP/IP 0day exploit

    Posté par  (site web personnel) . Évalué à -5.

    Ca fait des années et des années qu'on en entend parler, que des rumeurs courent sur une hypothétique faille dans la pile TCP/IP qui serait exploitable à distance. On aura donc fini par l'avoir!

    Le comble du comble, c'est quand même que ce soit sur OpenBSD.

    • [^] # Re: Remote TCP/IP 0day exploit

      Posté par  . Évalué à 3.

      Ce n'est pas à proprement parler du 0day, puisqu'un correctif a été disponible quelque temps avant la publication de la faille.

    • [^] # Re: Remote TCP/IP 0day exploit

      Posté par  . Évalué à 2.

      A noter que si tu n'utilises pas d'ipv6 (comme je pense une grande majorite de gens a l'heure actuelle) et que ton pf commence par une simple ligne comme ceci : block in all
      Et bien tu n'es pas vulnerable !
      Donc exploit certes tres dangereux et une maj est absolument necessaire mais dont on peut legerement restreindre la portee.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.