Articles publiés
Fernando Gont a publié un article sur le site SearchSecurity : Address IPv6 security before your time runs out. L’article traite des implications d’IPv6 sur la sécurité, sans apporter de nouveaux éléments. Il est organisé en cinq parties :
- IPv6 Security Implications
- IPv6 Security Considerations
- IPv4 vs. IPv6: A Brief Comparison
- IPv6 Security Myths
- Where To Go From Here
Enno Rey a publié un article intitulé Some more Notes on RA Guard Evasion and “undetermined-transport”. Il y propose une solution pour remplacer RA Guard sur un switch Cisco. La solution consiste à utiliser une PACL contenant « undetermined-transport » et permet d’obtenir une configuration plus résistante aux méthodes d’évasion.
Conférences
Marco Hogewoning a effectué une présentation lors de SSE 2/RIPE NCC Regional Meeting (second South East Europe) : IPv6 Security Where is the challenge?. L’introduction présente quelques statistiques montrant que la sécurité devient de plus en plus un frein à l’adoption d’IPv6. Puis, après avoir comparé la sécurité d’IPv6 à celle d’IPv4 et à la SSI en général, il conclut :
- IPv6 peut introduire des vulnérabilités
- IPv6 n’est pas une menace
- Le principal risque, c’est vous
Vidéos
Ivan Pepelnjak a publié une vidéo où Eric Vyncke présente l’implémentation de Cisco de SAVI : Source Address Validation Improvement. SAVI est une solution permettant de se prémunir contre l’usurpation d’adresse IPv6 dans un réseau local. Tous les commutateurs Cisco ne sont pas encore compatibles avec SAVI, mais devraient l’être dans le courant de l’année.
Outils
Une nouvelle version de la suite d’outils IPv6 Toolkit a été publiée : la version 1.3.4. Cette version améliore le support du host tracking dans l’outil scan6 et un nouvel outil, address6, fait son apparition.
Un nouvel outil, intitulé Evil Foca, a été publié : Descargar Evil FOCA 0.1.2.0. Les fonctionnalités de l’article sont intéressantes : MITM IPv6, MITM IPv4, DoS IPv6 et DNS Hijacking. Un article consacré à cet outil sera bientôt publié sur ce blog.
Vulnérabilités
Une vulnérabilité (CVSS Base Score = 5) dans le produit vGW de Juniper permettant de contourner les politiques de filtrage a été découverte (PSN-2013-03-875). Une mise à jour du produit est disponible.
Une autre vulnérabilité (CVSS Base Score = 7,8) affectant un produit Juniper a été divulguée (PSN-2013-04-915). L’envoi d’un paquet IPv6 spécialement formé, et correspondant à une règle de filtrage spécifique, permet de faire crasher le noyau de Junos. Une mise à jour est disponible.
Deux vulnérabilités (CVSS Base Score = 7,8) affectent le produit Cisco IOS XE (CVE-2013-1164, CVE-2013-2779 et cisco-sa-20130410-asr1000) :
- l’envoi de trafic IPv6 multicast fragmenté permet de faire crasher un équipement ;
- l’envoi de trafic IPv6 MVPN fragmenté permet aussi de faire crasher un équipement.
Une mise à jour du produit est disponible.
Une vulnérabilité (CVSS Base Score = 6,4) affectant le client NFS de Solaris lorsqu’il est utilisé avec IPv6 permet d’impacter la confidentialité et l’intégrité (CVE-2013-0405). Peu de détails sont disponibles.