IPv6 et la sécurité : nouvelles du front – juin

Nouvelles publications

A Novel Way of Abusing IPv6 Extension Headers to Evade IPv6 Security Devices d’Antonios Atlasis, article publié sur le blog Insinuator

Dans cet article, Antonios Atlasis présente une nouvelle façon de contourner des IDS en modifiant le champ Next Header d’Extension Headers de type Fragment Header.

m0n0wall as an IPv6 firewall d’Antonios Atlasis, article publié sur le blog Insinuator

Antonios Atlasis s’est brièvement intéressé aux fonctionnalités liées à IPv6 offertes par m0n0wall. Il présente ses conclusions dans cet article.

Why is IPv6 layer-2 security so complex (and how to fix it) d’Ivan Pepelnjak, article publié sur le blog ipSpace

En partant de la question « pourquoi la sécurité de niveau 2 est complexe avec IPv6 », Ivan Pepelnjak présente sa vision d’un « monde parfait » où une connectivité de niveau 2 ne serait utilisée qu’entre deux nœuds adjacents. Dans ce monde, il n’y aurait plus de RA Spoofing, ND Spoofing, DHCPv6 Spoofing ou IPv6 Address Spoofing.

Nouvelles vulnérabilités

CVE-2014-2176 (Cisco IOS XR Software IPv6 Malformed Packet Denial of Service Vulnerability)

  • Produit affecté : Cisco IOS XR
  • Impact : déni de service (CVSS Base Score = 7,1)

CVE-2014-3814 (NetScreen Firewall: Malformed IPv6 packet DoS issue)

  • Produit affecté : ScreenOS
  • Impact : crash de l’équipement (CVSS Base Score = 7,8)

CVE-2014-4167 (OpenStack Neutron L3-agent IPv6 Prefix SNAT Rules Handling Remote DoS)

  • Produit affecté : OpenStack Neutron
  • Impact : déni de service