Bulletin d'alerte Debian

DLA-2087-1 suricata -- Mise à jour de sécurité pour LTS

Date du rapport :
31 janvier 2020
Paquets concernés :
suricata
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-18625, CVE-2019-18792.
Plus de précisions :

Deux vulnérabilités ont été récemment découvertes dans le code de stream-tcp de l’outil Suricata de détection et prévention d’intrusion.

  • CVE-2019-18625

    Il était possible de contourner ou d’éviter n’importe quelle signature basée sur tcp en simulant une session TCP terminée en utilisant un serveur malveillant. Après le paquet TCP SYN, il était possible d’injecter un paquet RST ACK et un paquet FIN ACK avec une mauvaise option de temporalité de TCP. Le client pouvait ignorer les paquets RST ACK et FIN ACK à cause de cette mauvaise option pour TCP.

  • CVE-2019-18792

    Il était possible de contourner ou d’éviter n’importe quelle signature basée sur tcp en superposant un segment TCP avec un paquet FIN falsifié. Ce paquet devait être injecté juste avant le paquet PUSH ACK devant être contourné. Le paquet PUSH ACK (contenant les données) devait être ignoré par Suricata parce qu’il était superposé au paquet FIN (la séquence et le nombre d’ack sont identiques dans les deux paquets). Le client pouvait ignorer le paquet FIN falsifié parce que le drapeau ACK n’était pas défini.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.0.7-2+deb8u5.

Nous vous recommandons de mettre à jour vos paquets suricata.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.