Nom : FragmentStack. Matricule : CVE-2018-5391. Risque posé : déni de service.
Cette faille est au menu du Patch Tuesday de septembre 2018. Dans l’alerte qui lui est dédiée, Microsoft suggère une mesure de contournement : désactiver la reconstitution des paquets IP*.
FragmentStack affecte précisément cette opération qui intervient en dernier lieu dans le processus de segmentation IP.
Ledit processus consiste à découper des paquets pour les adapter aux capacités de réception (MTU, « maximum transmission unit ») de la station destinataire. Il est mis en œuvre notamment pour assurer le transfert de données entre des réseaux physiques différents.
La méthode présente plusieurs inconvénients, dont le fait que l’assemblage des paquets est entièrement dévolu au destinataire.
FragmentStack exploite ce goulet d’étranglement de manière à consommer toutes les ressources processeur, la machine ciblée finissant par planter. Il représente, en ce sens, une énième variante de l’attaque dite « Teardrop » et connue depuis des décennies.
Toutes les versions de Windows – client et serveur – encore prises en charge abritent la faille ; pas les VM Azure. Désactiver la reconstitution des paquets élimine la vulnérabilité, mais augmente le risque de perdre des données.
FragmentSmack avait été rendu public au mois d’août, des suites d’une découverte d’un chercheur des Nokia Labs. L’intéressé avait constaté que la vulnérabilité, connue de longue date sous d’autres formes, était devenue exploitable sur Linux depuis la version 3.9 du noyau. Ce à cause de l’accroissement de la file de traitement des paquets IP.
Une autre faille avait été publiée en parallèle. Nommée SegmentSmack, elle ne se fonde sur l’injection de paquets TCP. Ses déclinaisons CVE-2018-5390 et CVE-2018-6922 touchent respectivement Linux (version 4.9 et ultérieures) et FreeBSD (à partir de la 10.4).
Des correctifs sont à disposition pour les principales distributions Linux, y compris Android. D’Akamai à Zyxel, de nombreux fournisseurs d’équipements et/ou de services de réseau, de stockage ou encore de sécurité ont eu à les déployer.
L’équipe Debian recommande, en cas d’impossibilité d’appliquer un patch, de paramétrer /proc/sys/net/ipv4 pour fixer à 192 et 256 ko les seuils minimal et maximal de la fragmentation IP.
* Avec les commandes Netsh int ipv4 set global reassemblylimit=0 et Netsh int ipv6 set global reassemblylimit=0
Crédit photo : ministère allemand de la Défense
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…