Mailfence n’est pas vulnérable à la vulnérabilité de TCP sous GNU/Linux

linux icon

Table des matières

Partager cet article

Récemment , une vulnérabilité de TCP sous GNU/Linux a été divulguée ( CVE-2016-5696 ) par une équipe de chercheurs en sécurité aux États -Unis. Après analyse, ce bug ne constituait pas une menace pour nos utilisateurs. Néanmoins, nous avons pris immédiatement après des mesures supplémentaires pour renforcer les serveurs de Mailfence.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

vulnérabilité de TCP sous GNU/Linux

 

Vulnérabilité de TCP sous GNU/Linux

La vulnérabilité qui a été découverte est présente dans le noyau GNU/Linux depuis 2012. Elle oblige l’attaquant à se procurer à la fois les adresses IP du client et du serveur. En raison d’une « rate limit » imposée par le noyau GNU/Linux sur les paquets TCP via Challenge ACK, il est possible de pirater la connexion TCP entre le client et le serveur. Cela peut (par exemple) permettre à un attaquant d’injecter du code/des données malveillant(es) dans le flux de communication (web) HTTP.

Cette vulnérabilité peut être exploitée sans que les conditions requises pour une attaque de l’homme du milieu (MiTM) soient remplies. Ainsi, l’attaque peut également être effectuée « off path » sans nécessiter d’intercepter les transmissions du réseau entre le client et le serveur. Cela réduit considérablement la difficulté de l’attaque. Vous trouverez des détails supplémentaires dans ce rapport de recherche d’origine (lien en anglais).

La protection de nos utilisateurs

Bien que cette vulnérabilité puisse sembler grave, son impact est limité dans la pratique pour les utilisateurs connectés à nos serveurs. Au pire, les connexions TCP arbitraires pourraient théoriquement être fermées et aucun piratage ne pourrait se produire, en raison de l’emploi du chiffrement TLS. Pour les sessions Web en particulier, notre politique HSTS garantit l’emploi de HTTPS ( et non HTTP) dès le départ.

De plus, afin de mieux protéger nos utilisateurs contre la possibilité d’une attaque de type déni de service (DoS), notre équipe de sécurité a pris les mesures nécessaires, sans attendre que les nouveaux paquets du noyau soient diffusés.

Faites passer le message !

Reprenez votre vie privée en main.

Créez votre e-mail gratuit et sécurisé dès aujourd'hui.

Image de M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt sont la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem.

Recommandé pour vous