2.1 CVE-2011-5056

Patch

Le serveur faisant autorité dans MaraDNS jusqu'à la version 2.0.04 calcule les valeurs de hachage pour les données DNS sans restreindre la capacité à déclencher des collisions de hachage de manière prévisible, ce qui pourrait permettre aux utilisateurs locaux de provoquer un déni de service (consommation CPU) via des enregistrements fabriqués dans les fichiers de zone, une vulnérabilité différente de CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056

Catégories

CWE-400 : Consommation incontrôlée de ressources
Le produit ne contrôle pas correctement l'allocation et la maintenance d'une ressource limitée, permettant ainsi à un acteur d'influencer la quantité de ressources consommées, ce qui conduit finalement à l'épuisement des ressources disponibles. Certaines techniques d'analyse dynamique automatisée peuvent être efficaces pour repérer les problèmes d'épuisement des ressources, en particulier pour les ressources telles que les processus, la mémoire et les connexions. La technique peut consister à générer un grand nombre de demandes au produit dans un court laps de temps. Bien que le fuzzing soit généralement destiné à trouver des bogues d'implémentation de bas niveau, il peut trouver par inadvertance des problèmes d'épuisement des ressources. Cela peut se produire lorsque le fuzzer génère un grand nombre de cas de test mais ne redémarre pas le produit ciblé entre les cas de test. Si un cas de test individuel produit un crash, mais qu'il ne le fait pas de manière fiable, alors une incapacité à gérer l'épuisement des ressources peut en être la cause. Concevez des mécanismes d'étranglement dans l'architecture du système. La meilleure protection consiste à limiter la quantité de ressources qu'un utilisateur non autorisé peut faire dépenser. Un modèle d'authentification et de contrôle d'accès fort permettra d'éviter que de telles attaques ne se produisent en premier lieu. L'application de connexion doit être protégée autant que possible contre les attaques DoS. La limitation de l'accès à la base de données, par exemple en mettant en cache les ensembles de résultats, peut contribuer à minimiser les ressources utilisées. Pour limiter davantage le potentiel d'une attaque DoS, envisagez de suivre le taux de demandes reçues des utilisateurs et de bloquer les demandes qui dépassent un seuil de taux défini. Veillez à ce que les protocoles soient soumis à des limites d'échelle spécifiques. Assurez-vous que toutes les défaillances dans l'allocation des ressources placent le système dans une posture sûre. Chaîne : La bibliothèque Python ne limite pas les ressources utilisées pour traiter les images qui spécifient un très grand nombre de bandes (CWE-1284), ce qui entraîne une consommation excessive de mémoire (CWE-789) ou un dépassement d'entier (CWE-190). L'orchestrateur de charges de travail basé sur Go ne limite pas l'utilisation des ressources avec les connexions non authentifiées, permettant un DoS par inondation du service Épuisement des ressources dans les OS distribués en raison d'une gestion "insuffisante" des files d'attente IGMP, comme exploité dans la nature par CISA KEV. Le produit permet aux attaquants de provoquer un crash via un grand nombre de connexions. Une requête malformée déclenche une récursion incontrôlée, conduisant à l'épuisement de la pile. Chaîne : une fuite de mémoire (CWE-404) entraîne l'épuisement des ressources. Le pilote n'utilise pas une largeur maximale lors de l'invocation de fonctions de type sscanf, ce qui entraîne une consommation de la pile. Une grande valeur entière pour une propriété de longueur dans un objet entraîne une grande quantité d'allocation de mémoire. Le pare-feu d'application Web consomme une quantité excessive de mémoire lorsqu'une requête HTTP contient une grande valeur de Content-Length mais aucune donnée POST. Le produit permet l'épuisement des descripteurs de fichiers lors du traitement d'un grand nombre de paquets TCP. Le produit de communication permet la consommation de mémoire lors d'un grand nombre de requêtes SIP, ce qui entraîne la création de nombreuses sessions. L'implémentation TCP permet aux attaquants de consommer le CPU et d'empêcher les nouvelles connexions en utilisant une attaque TCP SYN flood. L'analyse des ports déclenche une consommation de CPU avec des processus qui tentent de lire des données à partir de sockets fermés. Le produit permet aux attaquants de provoquer un déni de service via un grand nombre de directives, chacune d'entre elles ouvrant une fenêtre séparée. Le produit permet l'épuisement des ressources via un grand nombre d'appels qui ne terminent pas une poignée de main à trois voies. Le serveur de messagerie ne traite pas correctement les messages MIME multipart profondément imbriqués, ce qui entraîne un épuisement de la pile. Chaîne : un produit antivirus rencontre un fichier malformé mais revient d'une fonction sans fermer un descripteur de fichier (CWE-775), ce qui entraîne une consommation du descripteur de fichier (CWE-400) et l'échec des analyses.

Références

CONFIRM Patch

http://samiam.org/blog/20111229.html Patch Third Party Advisory

SECTRACK

1026820 Third Party Advisory VDB Entry

XF

maradns-server-dos(72258) Third Party Advisory VDB Entry

CPE

cpe	start	end
Configuration 1
cpe:2.3:a:maradns:maradns::::::::		<= 2.0.04

REMEDIATION

Patch

Url
http://samiam.org/blog/20111229.html

EXPLOITS

Exploit-db.com

id	description	date
Pas d'exploit connu

Autres (github, ...)

Url
Pas d'exploit connu

CAPEC

Common Attack Pattern Enumerations and Classifications

id	description	sévérité
147	XML Ping de la mort Un attaquant lance une attaque par épuisement des ressources au cours de laquelle un grand nombre de petits messages XML sont délivrés à un rythme suffisamment rapide pour provoquer un déni de service ou un plantage de la cible. Les transactions telles que les transactions SOAP répétitives peuvent épuiser les ressources plus rapidement qu'une simple attaque par inondation en raison des ressources supplémentaires utilisées par le protocole SOAP et des ressources nécessaires pour traiter les messages SOAP. Les transactions utilisées sont sans importance tant qu'elles provoquent une utilisation des ressources sur la cible. En d'autres termes, il s'agit d'une attaque par inondation normale augmentée par l'utilisation de messages qui nécessiteront un traitement supplémentaire sur la cible. [A l'aide d'un navigateur ou d'un outil automatisé, un attaquant enregistre toutes les instances des services web pour traiter les requêtes XML. [Lancer une attaque par épuisement des ressources] L'attaquant envoie un grand nombre de petits messages XML aux URL cibles trouvées lors de la phase d'exploration à un rythme suffisamment rapide. Il provoque un déni de service à l'application cible.	Moyenne
227	Sustained Client Engagement Un adversaire tente d'empêcher les utilisateurs légitimes d'accéder à une ressource en engageant continuellement une ressource spécifique dans le but de la bloquer le plus longtemps possible. L'objectif principal de l'adversaire n'est pas de faire planter ou d'inonder la cible, ce qui alerterait les défenseurs ; il s'agit plutôt d'effectuer des actions répétées ou d'abuser de failles algorithmiques de sorte qu'une ressource donnée soit bloquée et non disponible pour un utilisateur légitime. En élaborant avec soin des requêtes qui maintiennent la ressource occupée par des demandes apparemment anodines, les utilisateurs légitimes se voient limiter ou refuser complètement l'accès à la ressource.
492	Expression régulière Exponentielle Blowup Un adversaire peut exécuter une attaque sur un programme qui utilise une mauvaise implémentation d'une expression régulière (Regex) en choisissant une entrée qui entraîne une situation extrême pour la Regex. Une situation extrême typique se déroule en un temps exponentiel par rapport à la taille de l'entrée. Ceci est dû au fait que la plupart des implémentations utilisent une machine d'état d'automate fini non déterministe (NFA) qui est construite par l'algorithme Regex, puisque le NFA permet le retour en arrière et donc des expressions régulières plus complexes.

MITRE

Techniques

id	description
T1499	Déni de service au niveau des terminaux
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Atténuations

id	description
T1499	Exploiter les services fournis par les réseaux de diffusion de contenu (CDN) ou les fournisseurs spécialisés dans l'atténuation des attaques DoS pour filtrer le trafic en amont des services. Filtrez le trafic périphérique en bloquant les adresses sources à l'origine de l'attaque, en bloquant les ports ciblés ou en bloquant les protocoles utilisés pour le transport. Pour vous défendre contre les inondations SYN, activez les cookies SYN.
© 2022 The MITRE Corporation. Cet ouvrage est reproduit et distribué avec l'autorisation de The MITRE Corporation.

Sherlock® flash

Prenez une photo de votre réseau informatique en quelques clics !

La solution d'audit Sherlock® flash vous permet de réaliser un audit pour renforcer la sécurité de votre parc informatique. Analyse des vulnérabilités de vos équipements physiques et virtuels. Planification des correctifs par niveau de priorité et temps disponible. Rapports détaillés et intuitifs.

Découvrir cette offre

Sherlock® flash : 1ère solution d'audit de cybersécurité instantané