Уязвимость обхода правил брандмауэра в файле "extensions/libxt_tcp.c" в iptables из-за некорректной обработки TCP SYN+FIN пакетов в правилах "--syn"
Описание
Обнаружена уязвимость в файле extensions/libxt_tcp.c в iptables, связанная с тем, что правила --syn не обрабатывают пакеты с установленными одновременно флагами TCP SYN и FIN. Это может позволить удалённым злоумышленникам обойти предполагаемые ограничения брандмауэра через специально созданные пакеты.
Примечание: исправление для CVE-2012-6638 делает данную проблему менее значимой.
Заявление
Данная проблема затрагивает Red Hat Enterprise Linux 5 и 6. Риски нарушения совместимости, связанные с исправлением данной проблемы, перевешивают выгоды от её устранения, поэтому Red Hat не планирует исправлять эту проблему в Red Hat Enterprise Linux 5 и 6. Обратите внимание, что проблема удалённого отказа в обслуживании (DoS), связанная с обработкой флагов SYN+FIN в ядре Linux, рассматривается под другим идентификатором CVE — CVE-2012-6638, и планируется к исправлению во всех затронутых версиях Red Hat Enterprise Linux.
Способы защиты
Вместо использования --syn в правилах рекомендуется использовать --tcp-flags SYN,RST,ACK SYN, если требуется также обрабатывать пакеты с установленными одновременно флагами SYN и FIN.
Затронутые версии ПО
- iptables до версии 1.4.21
Тип уязвимости
Обход ограничений брандмауэра
Идентификаторы
- Связанная проблема: CVE-2012-6638
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | iptables | Affected | ||
| Red Hat Enterprise Linux 6 | iptables | Affected |
Показывать по
Дополнительная информация
Статус:
EPSS
6.4 Medium
CVSS2
Связанные уязвимости
extensions/libxt_tcp.c in iptables through 1.4.21 does not match TCP SYN+FIN packets in --syn rules, which might allow remote attackers to bypass intended firewall restrictions via crafted packets. NOTE: the CVE-2012-6638 fix makes this issue less relevant.
extensions/libxt_tcp.c in iptables through 1.4.21 does not match TCP SYN+FIN packets in --syn rules, which might allow remote attackers to bypass intended firewall restrictions via crafted packets. NOTE: the CVE-2012-6638 fix makes this issue less relevant.
extensions/libxt_tcp.c in iptables through 1.4.21 does not match TCP S ...
extensions/libxt_tcp.c in iptables through 1.4.21 does not match TCP SYN+FIN packets in --syn rules, which might allow remote attackers to bypass intended firewall restrictions via crafted packets. NOTE: the CVE-2012-6638 fix makes this issue less relevant.
Уязвимость компонента extensions/libxt_tcp.c интерфейса управления работой межсетевого экрана Iptables, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
EPSS
6.4 Medium
CVSS2