ASA-2019-00159 – OpenBSD: Estados em pf (packet filter) permitem que os pacotes ICMP e ICMP6 passem


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00159

Identificador(es)

ASA-2019-00159

Título

Estados em pf (packet filter) permitem que os pacotes ICMP e ICMP6 passem

Fabricante(s)

The OpenBSD Project

Produto(s)

OpenBSD

Versão(ões) afetada(s)

OpenBSD 6.4 anterior à errata 015
OpenBSD 6.3 anterior à errata 031

Versão(ões) corrigida(s)

OpenBSD 6.4 errata 015
OpenBSD 6.3 errata 031

Prova de conceito

Desconhecido

Descrição

Os estados em pf (packet filter) permitem que os pacotes ICMP e ICMP6 passem se eles tiverem um pacote em seu payload que corresponda a uma conexão existente. Não foi verificado se o pacote ICMP externo possui o mesmo IP de destino que o IP de origem do pacote de protocolo interno.

Detalhes técnicos

Desconhecido

Créditos

Nicolas Collignon (Synacktiv.com), Corentin Bayet (Synacktiv.com), Eloi Vanderbeken (Synacktiv.com) e Luca Moro (Synacktiv.com)

Referência(s)

OpenBSD 6.4 Errata
https://www.openbsd.org/errata64.html

OpenBSD 6.3 Errata
https://www.openbsd.org/errata63.html

015_pficmp.patch.sig
https://ftp.openbsd.org/pub/OpenBSD/patches/6.4/common/015_pficmp.patch.sig

031_pficmp.patch.sig
https://ftp.openbsd.org/pub/OpenBSD/patches/6.3/common/031_pficmp.patch.sig

States in pf(4) let ICMP and ICMP6 packets pass
https://github.com/openbsd/src/commit/0db42a1fafb49002468d07e09f9adeadc062a255#diff-9517dfce4e8db974781a4536fd38cfc1

ICMP-REACHABLE
https://www.synacktiv.com/posts/systems/icmp-reachable.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.