Mailfence n’est pas vulnérable à la vulnérabilité de TCP sous GNU/Linux

Récemment , une vulnérabilité de TCP sous GNU/Linux a été divulguée ( CVE-2016-5696 ) par une équipe de chercheurs en sécurité aux États -Unis. Après analyse, ce bug ne constituait pas une menace pour nos utilisateurs. Néanmoins, nous avons pris immédiatement après des mesures supplémentaires pour renforcer les serveurs de Mailfence.

vulnérabilité de TCP sous GNU/Linux

 

Vulnérabilité de TCP sous GNU/Linux

La vulnérabilité qui a été découverte est présente dans le noyau GNU/Linux depuis 2012. Elle oblige l’attaquant à se procurer à la fois les adresses IP du client et du serveur. En raison d’une « rate limit » imposée par le noyau GNU/Linux sur les paquets TCP via Challenge ACK, il est possible de pirater la connexion TCP entre le client et le serveur. Cela peut (par exemple) permettre à un attaquant d’injecter du code/des données malveillant(es) dans le flux de communication (web) HTTP.

Cette vulnérabilité peut être exploitée sans que les conditions requises pour une attaque de l’homme du milieu (MiTM) soient remplies. Ainsi, l’attaque peut également être effectuée « off path » sans nécessiter d’intercepter les transmissions du réseau entre le client et le serveur. Cela réduit considérablement la difficulté de l’attaque. Vous trouverez des détails supplémentaires dans ce rapport de recherche d’origine (lien en anglais).

La protection de nos utilisateurs

Bien que cette vulnérabilité puisse sembler grave, son impact est limité dans la pratique pour les utilisateurs connectés à nos serveurs. Au pire, les connexions TCP arbitraires pourraient théoriquement être fermées et aucun piratage ne pourrait se produire, en raison de l’emploi du chiffrement TLS. Pour les sessions Web en particulier, notre politique HSTS garantit l’emploi de HTTPS ( et non HTTP) dès le départ.

De plus, afin de mieux protéger nos utilisateurs contre la possibilité d’une attaque de type déni de service (DoS), notre équipe de sécurité a pris les mesures nécessaires, sans attendre que les nouveaux paquets du noyau soient diffusés.

Obtenez votre messagerie securisée !


Faites passer le message !

Vous aimerez aussi...