IPv6 et la sécurité : nouvelles du front – octobre

Articles publiés

Andrew Yourtchenko, avec l’aide de quelques autres personnes, a publié une page sur le wiki Cisco DocWiki : FHS. La page présente les fonctionnalités FHS (First Hop Security) de Cisco et fournit des exemples de configuration. Ces fonctionnalités permettent de sécuriser IPv6 au sein d’un réseau local.

Enno Rey a publié un article sur le blog Insinuator : IPAM Requirements in IPv6 Networks. Il y liste les fonctionnalités spécifiques à IPv6 que doivent posséder les solutions IPAM (IP Address Management) : être capable d’utiliser SNMPv3 pour communiquer avec les équipements réseau et récupérer les adresses IPv6 utilisées, être capable de classer les adresses IPv6 par catégories (SLAAC ou DHCP par exemple), etc.

Vulnérabilités

La fonctionnalité VFR (Virtual Fragmentation Reassembly)  pour IPv6 dans Cisco IOS est affectée par une vulnérabilité (CVSS Base = 7,8) permettant de réaliser un déni de service en envoyant une série de fragments IPv6 spécialement conçus (cisco-sa-20130925-ipv6vfr, CVE-2013-5474).

Une vulnérabilité (CVSS Base = 4,3) affectant le noyau Linux a été identifiée : lors de l’utilisation d’IPsec, le trafic SCTP n’est pas chiffré avec IPv6, alors qu’il l’est avec IPv4 (CVE-2013-4350).

Une vulnérabilité (CVSS Base = 4,9) affectant le noyau Linux a été identifiée : il est possible de faire crasher l’OS en utilisant un socket AF_INET6 pour se connecter à une interface IPv4 (CVE-2013-2232).

La fonction ip6_ufo_append_data du noyau Linux, liée à la fonctionnalité UFO (UDP Fragmentation Offload), est affectée par une vulnérabilité (CVSS Base = 6,1) : l’envoi de messages UDP spécialement conçus peut faire crasher le noyau et potentiellement permettre d’exécuter du code arbitraire (CVE-2013-4387).