[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2001 ml@sikurezza.org Soggetto: Re: sicurezza di iptables su redhat 7.1 Mittente: Luca Berra Data: 30 May 2001 22:01:29 -0000
On Wed, May 30, 2001 at 10:11:59AM +0200, MrZzz wrote:
> e guardo i security advisores. Scopro che c'e' una falla nella gestione del
> firewall (iptables) per quanto riguarda le connessione FTP. Redhat non
> fornisce soluzione, ma avvisa soltanto che la falla c'e', che provvederenno a
> tapparla (uscira' un kernel nuovo quando troveranno la soluzione adatta - un
> kernel?!?) ma che nel frattempo gli utenti sono invitati a NON USARE redhat
> per connessioni ftp (ma che razza di consiglio e'?).
il baco e' nel modulo ip_conntrck_ftp, e' il solito baco che ha afflitto
anche fw1 e pix, sbaglia a parsare i comandi sul control channel e apre
le porte di troppo.
la mia idea e' che :
1) un firewall non deve analizzare i dati di livello applicativo e
cercare di agire di conseguenza, non funzionera' mai.
2) i protocolli che passano informazioni su un canale di controllo
per aprire altre connessioni devono morire (ftp e' un esempio, ma
anche snmp, netbios (PDC/BDC) e altri)
redhat non ti dice di non usare redhat per le connessioni ftp,
ma di non usare il modulo ip_conntrck_ftp.
http://netfilter.samba.org/security-fix/index.html
--
Luca Berra -- bluca@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005