Vulnerabilidad en un segmento TCP con un paquete FIN en Suricata tanto en Linux y Windows (CVE-2019-18792)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/01/2020
Última modificación:
22/10/2024
Descripción
Se descubrió un problema en Suricata versión 5.0.0. Es posible omitir y evadir cualquier firma basada en TCP mediante la superposición de un segmento TCP con un paquete FIN falso. El paquete FIN falso es inyectado justo antes del paquete PUSH ACK que queremos omitir. Suricata ignorará el paquete PUSH ACK (que contiene los datos) porque se superpone al paquete FIN (la secuencia y el número ack son idénticos en los dos paquetes). El cliente ignorará el paquete FIN falso porque el flag ACK no está configurado. Tanto los clientes de Linux y Windows ignoran el paquete inyectado.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oisf:suricata:*:*:*:*:*:*:*:* | 4.1.5 (incluyendo) | 4.1.6 (excluyendo) |
| cpe:2.3:a:oisf:suricata:5.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OISF/suricata/commit/1c63d3905852f746ccde7e2585600b2199cefb4b
- https://github.com/OISF/suricata/commit/fa692df37a796c3330c81988d15ef1a219afc006
- https://lists.debian.org/debian-lts-announce/2020/01/msg00032.html
- https://redmine.openinfosecfoundation.org/issues/3324
- https://redmine.openinfosecfoundation.org/issues/3394