Vigil@nce : OpenSSH, man in the middle X11
juillet 2008 par Vigil@nce
SYNTHÈSE
Un attaquant local peut intercepter les données X11 sur certains
systèmes comme HP-UX.
Gravité : 1/4
Conséquences : lecture de données
Provenance : compte utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : moyenne (2/3)
Date création : 22/07/2008
Référence : VIGILANCE-VUL-7960
PRODUITS CONCERNÉS
– OpenSSH [versions confidentielles]
DESCRIPTION
Le démon OpenSSH peut forwarder une session X11. Pour cela, un
service TCP écoute sur un port disponible (comme 6010) et transmet
les données X11 vers le client via le tunnel SSH.
L’option X11UseLocalhost de sshd indique que le port 6010 doit
être uniquement en écoute sur l’adresse IP 127.0.0.1 (cas par
défaut). Lorsque cette option vaut "no", le port 6010 est en
écoute sur toutes les adresses IP du serveur.
Un attaquant local peut d’abord créer un service illicite en
écoute sur le port 6010 et pour l’adresse IP du serveur uniquement
(par exemple 192.168.1.1). Lorsque OpenSSH tente ensuite d’ouvrir
le port 6010 avec SO_REUSEADDR, la majorité des systèmes (BSD,
Linux, OS X, Solaris) refuse d’ouvrir ce port. Cependant, HP-UX
accepte que l’attaquant écoute sur 192.168.1.1:6010, et que
OpenSSH écoute sur *:6010. L’attaquant peut alors intercepter les
flux destinés au service X11.
Un attaquant local peut ainsi intercepter des données sensibles
sur HP-UX lorsque X11UseLocalhost vaut "no".
CARACTÉRISTIQUES
Références : VIGILANCE-VUL-7960