6.5 CVE-2022-3551

Patch Malware Risk (MITRE)

Une vulnérabilité, classée comme problématique, a été découverte dans X.org Server. Ce problème concerne la fonction ProcXkbGetKbdByName du fichier xkb/xkb.c. La manipulation entraîne une fuite de mémoire. Il est recommandé d'appliquer un patch pour corriger ce problème. L'identifiant de cette vulnérabilité est VDB-211052.
https://nvd.nist.gov/vuln/detail/CVE-2022-3551

Catégories

CWE-404 : Fermeture ou libération inappropriée des ressources
Lorsqu'une ressource est créée ou allouée, le développeur est responsable de la libération correcte de la ressource ainsi que de la prise en compte de tous les chemins potentiels d'expiration ou d'invalidation, tels qu'une période de temps définie ou une révocation.

CWE-401 : Libération manquante de la mémoire après la durée de vie effective
Ce problème est souvent déclenché par une mauvaise gestion des données mal formées ou par des sessions interrompues de manière inattendue. Dans certains langages, les développeurs sont responsables du suivi de l'allocation de mémoire et de la libération de la mémoire. S'il n'y a plus de pointeurs ou de références à la mémoire, celle-ci ne peut plus être suivie et identifiée pour être libérée.

Références

DEBIAN

DSA-5278 Third Party Advisory

FEDORA

FEDORA-2022-64ad80875c Mailing List Third Party Advisory
FEDORA-2022-613e993500 Mailing List Third Party Advisory
FEDORA-2022-5495b36bed Mailing List Third Party Advisory
FEDORA-2022-9100b7aafd Mailing List Third Party Advisory

N/A Patch

N/A Third Party Advisory VDB Entry
N/A Mailing List Patch Vendor Advisory

_MLIST

[debian-lts-announce] 20221110 [SECURITY] [DLA 3185-1] xorg-server security update Mailing List Third Party Advisory

CPE

cpe	start	end
Configuration 1
cpe:2.3:a:x.org:x_server::::::::		< 21.1.6
Configuration 2
cpe:2.3:o:debian:debian_linux:10.0:::::::*
cpe:2.3:o:debian:debian_linux:11.0:::::::*
Configuration 3
cpe:2.3:o:fedoraproject:fedora:35:::::::*
cpe:2.3:o:fedoraproject:fedora:36:::::::*
cpe:2.3:o:fedoraproject:fedora:37:::::::*

REMEDIATION

Patch

Url
N/A

EXPLOITS

Exploit-db.com

id	description	date
Pas d'exploit connu

Autres (github, ...)

Url
Pas d'exploit connu

CAPEC

Common Attack Pattern Enumerations and Classifications

id	description	sévérité
125	Inondations Un adversaire consomme les ressources d'une cible en s'engageant rapidement dans un grand nombre d'interactions avec celle-ci. Ce type d'attaque met généralement en évidence une faiblesse dans la limitation du débit ou du flux. Lorsqu'elle réussit, cette attaque empêche les utilisateurs légitimes d'accéder au service et peut provoquer le plantage de la cible. Cette attaque se distingue de l'épuisement des ressources par des fuites ou des affectations en ce que ces dernières attaques ne reposent pas sur le volume des demandes adressées à la cible mais se concentrent plutôt sur la manipulation des opérations de la cible. Le facteur clé dans une attaque par inondation est le nombre de demandes que l'adversaire peut faire dans une période de temps donnée. Plus ce nombre est élevé, plus une attaque a de chances de réussir contre une cible donnée.	Moyenne
130	Allocation excessive Un adversaire amène la cible à allouer des ressources excessives pour répondre à la demande des attaquants, réduisant ainsi les ressources disponibles pour les services légitimes et dégradant ou refusant les services. Habituellement, cette attaque se concentre sur l'allocation de mémoire, mais toute ressource finie sur la cible pourrait être attaquée, y compris la bande passante, les cycles de traitement ou d'autres ressources. Cette attaque ne tente pas de forcer cette allocation par un grand nombre de demandes (ce serait l'épuisement des ressources par inondation) mais utilise plutôt une ou un petit nombre de demandes qui sont soigneusement formatées pour forcer la cible à allouer des ressources excessives pour servir cette (ces) demande(s). Souvent, cette attaque profite d'un bogue dans la cible pour amener celle-ci à allouer des ressources bien au-delà de ce qui serait nécessaire pour une demande normale.	Moyenne
131	Exposition aux fuites de ressources Un adversaire utilise une fuite de ressources sur la cible pour épuiser la quantité de ressources disponibles pour répondre aux demandes légitimes.	Moyenne
494	TCP Fragmentation Un adversaire peut exécuter une attaque par fragmentation TCP contre une cible dans l'intention d'éviter les règles de filtrage des contrôles de réseau, en tentant de fragmenter le paquet TCP de telle sorte que le champ du drapeau d'en-tête soit poussé dans le deuxième fragment qui n'est généralement pas filtré.
495	UDP Fragmentation Un attaquant peut exécuter une attaque UDP Fragmentation contre un serveur cible afin de consommer des ressources telles que la bande passante et le CPU. La fragmentation IP se produit lorsqu'un datagramme IP est plus grand que la MTU de la route que le datagramme doit parcourir. En général, l'attaquant utilise de gros paquets UDP de plus de 1500 octets de données, ce qui force la fragmentation, car la MTU d'ethernet est de 1500 octets. Cette attaque est une variation d'une inondation UDP typique, mais elle permet de consommer plus de bande passante du réseau avec moins de paquets. En outre, elle peut consommer les ressources CPU du serveur et remplir les tampons de mémoire associés au traitement et au réassemblage des paquets fragmentés.
496	ICMP Fragmentation Un attaquant peut exécuter une attaque de fragmentation de la CIPD contre une cible avec l'intention de consommer des ressources ou de provoquer un crash. L'attaquant fabrique un grand nombre de paquets IP fragmentés identiques contenant une partie d'un message ICMP fragmenté. L'attaquant envoie ces messages à un hôte cible, ce qui fait que l'hôte ne répond plus. Un autre vecteur peut être l'envoi d'un message ICMP fragmenté à un hôte cible avec des tailles incorrectes dans l'en-tête, ce qui entraîne le blocage de l'hôte.
666	BlueSmacking Un adversaire utilise l'inondation Bluetooth pour transférer des paquets volumineux vers des périphériques Bluetooth via le protocole L2CAP dans le but de créer un DoS. Cette attaque doit être menée à proximité d'un appareil Bluetooth. Scan for Bluetooth Enabled Devices] À l'aide de BlueZ et d'une antenne, l'adversaire recherche des appareils avec Bluetooth activé. Modifier la longueur des paquets L2CAP] L'adversaire doit modifier la longueur des paquets L2CAP pour créer des paquets qui submergeront un périphérique Bluetooth. Flood] L'adversaire envoie les paquets à l'appareil cible et le submerge jusqu'à ce que les performances soient dégradées.	Moyenne

MITRE

Techniques

id	description
T1498.001	Déni de service du réseau : Inondation directe du réseau
T1499	Déni de service au niveau des terminaux
T1499.001	Déni de service au niveau des terminaux : Flood d'épuisement de l'OS
T1499.003	Déni de service au niveau des terminaux : inondation par épuisement des applications
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Atténuations

id	description
T1498.001	Lorsque les volumes d'inondation dépassent la capacité de la connexion réseau ciblée, il est généralement nécessaire d'intercepter le trafic entrant en amont pour filtrer le trafic d'attaque du trafic légitime. Ces défenses peuvent être fournies par le fournisseur d'accès à Internet (FAI) ou par un tiers, tel qu'un réseau de diffusion de contenu (CDN) ou des fournisseurs spécialisés dans l'atténuation des attaques par déni de service (DoS). En fonction du volume de l'inondation, le filtrage sur place peut être possible en bloquant les adresses sources de l'attaque, en bloquant les ports qui sont ciblés ou en bloquant les protocoles utilisés pour le transport. Étant donné qu'une réponse immédiate peut nécessiter l'engagement rapide de tiers, il convient d'analyser le risque associé aux ressources critiques affectées par les attaques DoS du réseau et d'élaborer un plan de reprise après sinistre/de continuité des activités pour répondre aux incidents.
T1499	Exploiter les services fournis par les réseaux de diffusion de contenu (CDN) ou les fournisseurs spécialisés dans l'atténuation des attaques DoS pour filtrer le trafic en amont des services. Filtrez le trafic périphérique en bloquant les adresses sources à l'origine de l'attaque, en bloquant les ports ciblés ou en bloquant les protocoles utilisés pour le transport. Pour vous défendre contre les inondations SYN, activez les cookies SYN.
T1499.001	Exploiter les services fournis par les réseaux de diffusion de contenu (CDN) ou les fournisseurs spécialisés dans l'atténuation des attaques DoS pour filtrer le trafic en amont des services. Filtrez le trafic périphérique en bloquant les adresses sources à l'origine de l'attaque, en bloquant les ports ciblés ou en bloquant les protocoles utilisés pour le transport. Pour vous défendre contre les inondations SYN, activez les cookies SYN.
T1499.003	Exploiter les services fournis par les réseaux de diffusion de contenu (CDN) ou les fournisseurs spécialisés dans l'atténuation des attaques DoS pour filtrer le trafic en amont des services. Filtrer le trafic frontalier en bloquant les adresses sources à l'origine de l'attaque, en bloquant les ports ciblés ou en bloquant les protocoles utilisés pour le transport.
© 2022 The MITRE Corporation. Cet ouvrage est reproduit et distribué avec l'autorisation de The MITRE Corporation.

Sherlock® flash

Prenez une photo de votre réseau informatique en quelques clics !

La solution d'audit Sherlock® flash vous permet de réaliser un audit pour renforcer la sécurité de votre parc informatique. Analyse des vulnérabilités de vos équipements physiques et virtuels. Planification des correctifs par niveau de priorité et temps disponible. Rapports détaillés et intuitifs.

Découvrir cette offre

Sherlock® flash : 1ère solution d'audit de cybersécurité instantané