https://www.nextinpact.com/brief/linux- ... tm#/page/2
Elle porte la référence CVE-2019-14899 et pourrait causer de gros dégâts. Ubuntu 19.10, Fedora, Debian 10.2, Manjaro 18.1.1, Arch 2019.05, FreeBSD, OpenBSD… la liste des distributions touchées est longue.
De manière générale, elle concerne tous les systèmes utilisant la configuration par défaut de systemd sorti après le 28 novembre 2018. En cause, le changement d’un paramètre rp_filter de « strict » à « loose »… avec des conséquences en cascades.
« Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d'exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l'adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s'il y a ou non une connexion active à un site Web donné », explique le portail de cybersécurité des systèmes de santé qui reprend la publication sur Seclists de William J. Tolley, Beau Kujath et Jedidiah R. Crandall.
Le portail ajoute : « De plus, l’attaquant pourrait déterminer les numéros des séquences et d'acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d'injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d'autres technologies VPN ».
Les chercheurs donnent plusieurs pistes permettant de limiter les dégâts, notamment activer le reverse path filtering et mettre en place le filtrage Bogon.
D'après la publication originale:
Here is a list of the operating systems we have tested which are vulnerable to this attack:
Ubuntu 19.10 (systemd)
Fedora (systemd)
Debian 10.2 (systemd)
Arch 2019.05 (systemd)
Manjaro 18.1.1 (systemd)
Devuan (sysV init)
MX Linux 19 (Mepis+antiX)
Void Linux (runit)
Slackware 14.2 (rc.d)
Deepin (rc.d)
FreeBSD (rc.d)
OpenBSD (rc.d)
This list isn’t exhaustive, and we are continuing to test other distributions, but made sure to cover a variety of init systems to show this is not limited to systemd.
Par conséquent, la faille n'est pas dans systemd mais est activée par systemd par défaut depuis la mise à jour en question et d'autres systèmes d'init peuvent l'activer (là aussi depuis plus ou moins longtemps).
De plus, les distribs utilisant systemd mais qui modifient la conf par défaut peuvent aussi être protégées.
vu sur le même lien :
Pour moi le problème concerne la validation de l'adresse source. Donc là ils jouent un peu le catastrophisme avec wiregard, vpn,.... mais à mon sens toute connection TCP ou UDP peux être touchée.
Le RPF est inclus dans linux depuis ... pfffff ... longtemps , je sais pas trop pourquoi sur le desktop il est pas activé par défaut.
A lire :https://www.slashroot.in/linux-kernel-r ... -filtering
Il y 3 valeurs :
0 : Désactivé
1 : Activé strict ( == drop paquet si il arrive pas par l'interface réseau par laquelle il est censé arriver)
2 : Activé loose ( == drop paquet si il arrive pas par l'interface réseau par laquelle il est censé arriver ni par n'importe quelle autre interface avec une route active)
Chez moi, debian 9 je viens de voir que la valeur est à 0.
Après c'est un réglage important pour les routeurs... mais l'exemple pris avec les VPN implique que dans ce cas précis un desktop aurait 2 interfaces actives en même temps, donc .... devient routeur (partiellement, il manquerais notamment ./ipv4/conf/xxxx/forwarding = 1 )