Acciones del Proyecto Kame que abordan el problema de la cabecera de encaminamiento de Tipo 0

Antecedentes

En el CanSecWest 2007, se presentó un reporte titulado "Diversión con las cabeceras de encaminamiento IPv6" ("Fun with IPv6 routing headers"), en el que se indicaba que la cabecera de encaminamiento IPv6 de Tipo 0 puede ser usada como un método de ataque. Uno de los ataques descritos podría explotar cualquiera de los dos nodos que manejaran dicha cabecera tal como se describe en el RFC 2460, incluyendo los nodos basados en KAME/BSD; de modo que se consumiera el ancho de banda entre los dos nodos. Aunque las diapositivas que se mostraron para explicar este tipo de ataque contienen algunos errores técnicos, la principal amenaza parece existir.

La iniciativa del Proyecto KAME

El Proyecto KAME realizó las siguientes acciones para arreglar el tema y minimizar la posibilidad de que sea utilizado como método de ataque.

• Se arregló el código fuente de KAME para deshabilitar la Cabecera de Encaminamiento IPv6 de Tipo 0. La función ip6_rthdr0() fue descomentada y las cabeceras de encaminamiento de Tipo 0 entrantes son procesadas ahora como cabeceras de encaminamiento desconocidas. El valor por defecto de net.inet6.ip6.hdrnestlimit se ha reducido a 15. Se debe asegurar de deshabilitar el bit 2^1 de la variable sysctl net.inet6.icmp6.nodeinfo (Aunque no hay diferencia porque KAME la trae deshabilitada por defecto).
  El diff se puede encontrar aquí
  También puede revisar el changelog en el cvsweb en: route6.c, in6_proto.c and ip6_input.c.
• Se anunció el arreglo (fix) a las personas que mantienen las variantes de BSD así como a los vendedores que han incorporado el stack IPv6 de KAME/BSD en sus productos.
• Se discutió acerca de cómo manejar este problema, desde el punto de vista de las especificaciones, en la IETF (en proceso)

Recomendación

No hay necesidad de entrar en pánico, pero es altamente recomendable aplicar los cambios mencionados líneas arriba (ver también las alertas de seguridad de BSD que se muestran más abajo) y reiniciar el kernel, especialmente hay que tener esto en cuenta en aquellos nodos IPv6 que son altamente conocidos y que están conectados a enlaces de alto ancho de banda.

Anuncios Relacionados

• Lista de información/cobertura de prensa/alertas en este tema..
• NIST bug ID: CVE-2007-2242.
• OpenBSD: 005: ARREGLO DE SEGURIDAD: 27 de Abril del 2007 . las alertas serán actualizadas muy pronto.
• FreeBSD: FreeBSD-SA-07:03.ipv6.
• NetBSD: A Un arreglo (fix) ha sido importado al árbol principal..
• DragonflyBSD: El arreglo ha sido importado al árbol principal y a sus ramas más antiguas.
• Apple MacOS X: Se encuentra disponible un arreglo de seguridad.
• Alaxala routers: Se encuentra disponible un arreglo de seguridad.
• CERT VU267289.

Puntos de Contacto

Si tiene algunas preguntas en este tema que puedan ser discutidas públicamente, por favor, envíelas a la lista snap-users de usuarios de productos KAME en kame.net. Si de otro modo, quisiera mantener la pregunta en modo confidencial, envíela a core en kame.net, que es la lista privada, sólo para los desarrolladores de KAME.