Kwetsbaarheid verholpen in afhandeling van IP-fragmenten (FragmentSmack)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.07 #############################

Titel           : Kwetsbaarheid verholpen in afhandeling van
                  IP-fragmenten (FragmentSmack)
Advisory ID     : NCSC-2018-0739
Versie          : 1.07
Kans            : medium
CVE ID          : CVE-2018-5391
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
Uitgiftedatum   : 20180921
Toepassing      : Cisco Aironet
                  Cisco IP Phone
                  Cisco MDS 9000
                  Cisco Meeting Server
                  Cisco Secure ACS (Access Control System)
                  Cisco Unified Communications Manager
                  Cisco Wireless LAN Controller
                  F5 BIG-IP
                  Palo Alto pan-os
Versie(s)       : 
Platform(s)     : Cisco IOS
                  Debian
                  Linux Kernel
                  OpenSUSE
                  Ubuntu
                  Microsoft Windows

Update
   Palo alto heeft updates uitgebracht voor PAN-Os 7.1.*. Updates voor
   6.1, 8.0 en 8.1 zijn aangekondigd. Zie "Mogelijke oplossingen" voor
   meer informatie.

Beschrijving
   Er is een kwetsbaarheid verholpen in de implementatie van de
   TCP/IP-stack. De kwetsbaarheid is gerelateerd aan de wijze waarop
   IP-fragmenten binnen de TCP/IP-stack worden verwerkt. Om de aanval
   uit te voeren maakt een kwaadwillende gebruik van speciaal
   geprepareerde IP-fragmenten.
   
   Misbruik van de kwetsbaarheid werd vanaf Linux-kernel versie 3.9
   mogelijk gemaakt door het verhogen van de IP-fragment reassembly
   queue volume. Een stream van meerdere kleine IP-fragmenten kan er
   voor zorgen dat de gehele IP-fragment queue vol raakt. Het gevolg
   hiervan is een verslechtering van de netwerkkwaliteit met mogelijk
   een Denial-of-Service als resultaat. De Denial-of-Service duurt
   zolang de aanval loopt.
   
   De kwetsbaarheid bevindt zich mogelijk ook in andere
   besturingssystemen.

Mogelijke oplossingen
   De ontwikkelaars van Linux hebben een patch beschikbaar gesteld om
   de kwetsbaarheid te verhelpen. Voor meer informatie zie:
   
   https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit
      /?id=56e2c94f055d328f5f6b0a5c1721cca2f2d4e0a1
   
   De kwetsbaarheid kan worden gemitigeerd door de toegang tot het
   kwetsbare systeem te beperken tot alleen vertrouwde systemen.
   Daarnaast kan op Linux-geörienteerde systemen de IP-fragment queue
   size worden verlaagd met de volgende commando's:
   
   sysctl -w net.ipv4.ipfrag_low_thresh=196608
   sysctl -w net.ipv4.ipfrag_high_thresh=262144
   
   -= Cisco =-
   Cisco heeft voor verschillende producten aangegeven of deze
   kwetsbaar zijn en of er updates beschikbaar zijn. Meer en actuele
   informatie kunt u vinden op de website van Cisco:
   
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory/cisco-sa-20180824-linux-ip-fragment
   
   -= Debian =-
   Debian heeft updates van Linux beschikbaar gesteld voor Debian 8.0
   (Jessie) en 9.0 (Stretch) om de kwetsbaarheden te verhelpen. U kunt
   de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   Debian 8.0:
   https://security-tracker.debian.org/tracker/DLA-1466-1
   
   Debian 9.0:
   https://www.debian.org/security/2018/dsa-4272
   
   -= F5 =-
   De ontwikkelaars van F5 hebben updates beschikbaar gesteld voor
   BIG-IP om de kwetsbaarheid te verhelpen. Zie voor meer informatie:
   
   https://support.f5.com/csp/article/K95343321
   
   -= Microsoft =-
   Microsoft heeft aangegeven dat Windows systemen ook kwetsbaar zijn.
   Er wordt nog gewerkt aan een oplossing. Wel is er een mogelijke
   mitigerende maatregel beschikbaar. Zie voor meer informatie:
   
   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory
      /ADV180022
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE Leap 42.3 en Leap 15.0. U
   kunt deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de OpenSUSE downloadserver (download.opensuse.org).
   Voor meer informatie, zie:
   
   OpenSUSE Leap 42.3
   https://lists.opensuse.org/opensuse-security-announce/2018-08
      /msg00061.html
   
   OpenSUSE Leap 15
   https://lists.opensuse.org/opensuse-security-announce/2018-08
      /msg00064.html
   
   -= Palo Alto =-
   Palo Alto heeft updates uitgebracht voor PAN-OS 7.1 om de
   kwetsbaarheid te verhelpen. voor 6.1, 8.0 en 8.1 zijn updates
   aangekondigd, maar nog niet uitgebracht. Voor meer informatie zie:
   
   https://securityadvisories.paloaltonetworks.com/Home/Detail/131
   
   -= Ubuntu =-
   Canonical heeft updates beschikbaar gesteld voor Ubuntu 14.04 LTS,
   16.04 LTS en 18.04 LTS om de kwetsbaarheid te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   Ubuntu 18.04 LTS:
   https://usn.ubuntu.com/usn/usn-3740-1
   
   Ubuntu 16.04 LTS:
   https://usn.ubuntu.com/usn/usn-3741-1
   
   Ubuntu 14.04 LTS:
   https://usn.ubuntu.com/usn/usn-3742-1

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8
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=KIKt
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2019

Nederland digitaal veilig