Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Snort, contournement par fragmentation

mai 2008 par Vigil@nce

Un attaquant peut fragmenter ses paquets IP afin de contourner
toutes les règles Snort.

 Gravité : 3/4
 Conséquences : transit de données, camouflage
 Provenance : client internet
 Moyen d’attaque : 1 attaque
 Compétence de l’attaquant : technicien (2/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 22/05/2008
 Référence : VIGILANCE-VUL-7846

PRODUITS CONCERNÉS

Snort [versions confidentielles]

DESCRIPTION

Le préprocesseur frag3_engine de Snort réassemble les fragments IP.

L’option ttl_limit de ce préprocesseur définit la différence
maximale admise entre les TTL des fragments à réassembler. Par
défaut, ttl_limit vaut 5, donc les fragments suivants sont
acceptés :
 premier paquet IP avec un TTL de 40
 deuxième paquet IP avec un TTL de 41 (il peut légitimement
avoir emprunté une route différente)
Les fragments suivants sont rejetés, sans journalisation :
 premier paquet IP avec un TTL de 40
 deuxième paquet IP avec un TTL de 46
Cette option est inutile. Elle provient d’une erreur de conception
de Snort 2.6 et 2.8.

Si l’attaquant fragmente ses paquets IP avec des TTL différents,
il contourne ainsi toutes les règles Snort.

CARACTÉRISTIQUES

 Références : BID-29327, CVE-2008-1804, VIGILANCE-VUL-7846
 Url : https://vigilance.aql.fr/arbre/1/7846


Voir les articles précédents

    

Voir les articles suivants