 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 22 avril 2004
No CERTA-2004-AVI-140 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité du noyau
NetBSD
Tableau 1: gestion du document
| Référence |
CERTA-2004-AVI-140 |
| Titre |
Vulnérabilité du
noyau NetBSD |
| Date de la première
version |
22 avril 2004 |
| Date de la dernière
version |
- |
| Source(s) |
Avis de sécurité
NetBSD NetBSD-SA2004-006 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- injection de données dans un flux TCP.
- NetBSD-current de sources antérieures au 22 avril
2004 ;
- NetBSD 1.5, 1.5.1, 1.5.2 et 1.5.3 ;
- NetBSD 1.6, 1.6.1 et 1.6.2 ;
- la branche NetBSD 2.0 est affectée mais la version
finale NetBSD 2.0 incluera le correctif.
Outre les faiblesses du protocole TCP (Transmission Control
Protocol) connues depuis plusieurs années, une
vulnérabilité dans la mise en oeuvre du protocole
TCP par NetBSD permet à un utilisateur mal
intentionné de créer un déni de service ou
d'injecter des données dans un flux TCP.
Le procole TCP, décrit dans la RFC 793, présente
plusieurs faiblesses :
- Possibilité de fabriquer des paquets RST afin de
terminer une connection TCP ;
- possibilité de fabriquer des paquets SYN afin de
terminer une connection TCP ;
- possibilité d'injecter des paquets dans une
session TCP.
En plus de ces faiblesses, la mise en oeuvre du protocole TCP
dans le noyau 4.4BSD (dont NetBSD est dérivé)
souffre d'un problème dans la validation des paquets TCP
RST.
Appliquer le correctif fournit par NetBSD (cf. section
Documentation).
- 22 avril 2004
- version initiale.
CERTA
2012-01-04
|
|
)
