Faille de sécurité sous Linux

Crasher n'importe quel serveur ou machine Linux, c'est possible si cette faille n'a pas été corrigée sur la machine cible. En effet, toutes les machines équipées du kernel version 2.4 sont vulnérables.

Cette faille est en faite dû à la pile TCP/IP. Cette pile est en fait une table de hashage (afin de gagner du temps) servant à stocker les paquets TCP/IP arrivant sur la machine. Le principe de cette table est de stocker des information dans un tableau dont les cases sont nommables. On utilise une fonction de hashage afin de trouver à partir du contenu la case correspondante. En fonction de la fonction de hashage employée, on peut optimiser le stockage et/ou la vitesse de recherche. Cependant, la plupart des fonctions ont un leger defaut : il peut arriver que dans certains cas 2 valeurs soient dans la même case. Dans ce cas, on va utiliser une liste dans la case pour stocker les données. On peut ainsi stocker plus d'une seule information dans la même case de la table originale. Malheuresement ceci à un coup, et ici il se chiffre en cpu : le parcours dans cette liste est très couteux en ressource processeur. On appele ce phénomène collision.

Maintenant, observons les fonctionnements d'un reseau.Quand vous téléchargez un fichier ou que vous jouez sur un reseau, les informations qui passent par les cartes reseaux ou modems sont divisées en paquets possédant entre autres une adresse source et une adresse destination. Il est possible avec certains logiciels d'envoyer des paquets avec une adresse source differente de la votre, on appelle ca le spoofing. Cela permet par exemple d'acceder à des reseaux que vous ne pouvez acceder avec votre adresse réelle.

Le rapport avec la faille me direz-vous ?
C'est simple, en utilisant la technique de spoofing, on va pouvoir envoyer des paquets avec des adresses totalement fausses à la machine Linux. On choisit très précisement les adresses afin de créer un maximum de collisions au sein de la pile TCP/IP. Toutes les collisions vont ainsi demander une grande quantité de temps processeur et donc consommer toutes les ressources de la machine. Si on parvient à envoyer un assez grand nombre de paquet par seconde à la machine, les ressources consommées seront telles que la machine pourrait planter. Cette attaque est appelée Dos aka Denial Of Service.

Mais alors toutes les machines Linux sont vulnérables, Linux est pas aussi sécurisé que tout le monde le prétend ....
A cela je reponds faux. En effet une parade est de modifier les règles de filtrage du firewall pour que les paquets bidouillés n'arrivent pas dans la pile TCP/IP. Ces paquets passent tout d'abord par une ou plusieurs règles de firewall avant d'atterir dans la pile TCP/IP, la pile defaillante. Ces règles etant regroupées dans des tableaux afin de simplifier les choses. Ainsi, au lieu de bloquer les ports au niveau du tableau (ou table) INPUT, il faut les bloquer un cran avant c'est à dire dans la table PREROUTING. En résume, si vous n'avez pas bloquer cette table comme il est conseillé de le faire, il devient urgent de se mettre à la tache. Si vous n'avez pas le temps, modifiez simplement vos scripts de firewall, les lignes à modifier pour un firewall de type iptables sont celles faisant réference à la table INPUT. Vous la remplacez en PREROUTING et ajoutez '-t nat' avant et le tour est joué.

Le risque est cependant faible, selon les sources de cette faille, il faut un debit d'au moins 400 paquets par seconde afin de crasher la machine. Et la mise en oeuvre de techniques de spoofing ajoutée aux choix des adresses rend cette faille plutôt complexe. Toutefois, plus de sécurité ne fera jamais de mal à personne. Cette news est peut-etre un peu complexe à comprendre mais interressera tous ceux qui comme moi utilisent Linux comme routeur pour partager leur connection ADSL. De plus, un petit tour dans les pages de manuel des commandes vous en dira plus (man nomCommande).

Il est toujours préfèrable de se penser insécurisé et toujours protéger ses machines que de se croire totalement sécurisé !

Sources :
www.secunia.com
La news sur un site de news internet
La news sur RedHat

Dans les boutiques

> Aucun commentaire posté pour le moment. Soyez le premier à réagir...

Rédigée le jeudi 22 mai 2003 à 00h00 par Michaël Mulkens
Source : infomods