SYNTHÈSE

Un attaquant local peut intercepter les données X11 sur certains
systèmes comme HP-UX.

Gravité : 1/4

Conséquences : lecture de données

Provenance : compte utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : moyenne (2/3)

Date création : 22/07/2008

Référence : VIGILANCE-VUL-7960

PRODUITS CONCERNÉS

– OpenSSH [versions confidentielles]

DESCRIPTION

Le démon OpenSSH peut forwarder une session X11. Pour cela, un
service TCP écoute sur un port disponible (comme 6010) et transmet
les données X11 vers le client via le tunnel SSH.

L’option X11UseLocalhost de sshd indique que le port 6010 doit
être uniquement en écoute sur l’adresse IP 127.0.0.1 (cas par
défaut). Lorsque cette option vaut "no", le port 6010 est en
écoute sur toutes les adresses IP du serveur.

Un attaquant local peut d’abord créer un service illicite en
écoute sur le port 6010 et pour l’adresse IP du serveur uniquement
(par exemple 192.168.1.1). Lorsque OpenSSH tente ensuite d’ouvrir
le port 6010 avec SO_REUSEADDR, la majorité des systèmes (BSD,
Linux, OS X, Solaris) refuse d’ouvrir ce port. Cependant, HP-UX
accepte que l’attaquant écoute sur 192.168.1.1:6010, et que
OpenSSH écoute sur *:6010. L’attaquant peut alors intercepter les
flux destinés au service X11.

Un attaquant local peut ainsi intercepter des données sensibles
sur HP-UX lorsque X11UseLocalhost vaut "no".

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-7960

https://vigilance.aql.fr/arbre/1/7960