RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade no IPv6 do OpenBSD

CORE-2007-0219

[CAIS, 14.03.2007-17:03, revisão 01]

O CAIS está repassando o alerta da Core Security Technologies, intitulado "CORE-2007-0219 - OpenBSD's IPv6 mbufs remote kernel buffer overflow", que trata de uma vulnerabilidade recém-descoberta no kernel do OpenBSD quando este manipula pacotes IPv6.

A vulnerabilidade existe devido ao gerenciamento impróprio de áreas de armazenamento de dados em memória (buffers) no kernel do OpenBSD, quando estão sendo utilizadas estruturas do tipo "mbuf". O envio de pacotes ICMPv6 a um sistema vulnerável pode levar à sobrecarga das estruturas mbuf do kernel, podendo permitir a execução remota de código em modo kernel no sistema afetado ou mesmo levando-o a uma condição de negação de serviço.

Sistemas OpenBSD que utilizam a instalação padrão estão vulneráveis, uma vez que possuem o IPv6 ativo e o firewall do sistema não filtra o recebimento de pacotes IPv6 automaticamente.

Entretanto, para que esta vulnerabilidade seja explorada com sucesso, um atacante precisa ser capaz de injetar pacotes IPv6 fragmentados na rede local do sistema vulnerável. Isto requer acesso físico/lógico à rede da vítima, que entretanto não precisa necessariamente estar roteando ou transmitindo trafego IPv6 por túneis lógicos para ter o sistema comprometido devido a esta vulnerabilidade.

Sistemas afetados:

• OpenBSD 4.1 anterior à 26 de Fevereiro de 2006
• OpenBSD 4.0 Current
• OpenBSD 4.0 Stable
• OpenBSD 3.9
• OpenBSD 3.8
• OpenBSD 3.6
• OpenBSD 3.1
• Todas as outras versões de OpenBSD que implementem o protocolo IPv6

Correções disponíveis:

Recomendamos a aplicação das seguintes correções nos sistemas vulneráveis:

• OpenBSD 3.9
• OpenBSD 4.0

Entretanto, devido às diversas versões do OpenBSD existentes e também de forma a aplicar outras correções disponíveis em sistemas OpenBSD, recomendamos a leitura e execução dos processos de atualização presentes nos seguintes documentos:

• Correções para OpenBSD 4.0 e anteriores
• Obtendo a versão estável (com patches) do OpenBSD
• Como aplicar correções no OpenBSD
• Diferenciando as distribuições do OpenBSD

Medidas paliativas:

De forma a se contornar a exploração desta vulnerabilidade, é possível configurar o firewall do OpenBSD de maneira a bloquear quaisquer pacotes IPv6 que cheguem no sistema afetado, caso você não utilize o protocolo IPv6. Para isso, utilize a seguinte configuração:

• Edite o arquivo /etc/pf.conf
  Adicione a linha:
  block drop in inet6 all
   
• Recarregue as regras do firewall do OpenBSD:
  pfctl -f /etc/pf.conf
   
• Cheque se a regra adicionada foi carregada corretamente:
  pfctl -s rules

Mais informações:

• CORE-2007-0219 - OpenBSD's IPv6 mbufs remote kernel buffer overflow
• Secunia - OpenBSD ICMP6 Packet "mbuf" Memory Corruption Vulnerability
• OpenBSD Website

Identificador CVE (http://cve.mitre.org): CVE-2007-1365

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais