Une mauvaise interprétation des adresses IPv4 permettait à un pirate d’infiltrer un code malveillant en toute tranquillité.
Parfois, un petit grain de sable peut faire d’énormes dégâts. Des chercheurs en sécurité de Sick.codes ont récemment trouvé une faille dans « netmask » (CVE-2021-29418), un module logiciel qui est utilisé par plus de 270 000 projets sur GitHub et qui permet de manipuler les adresses IPv4 sous format CIDR (Classless Interdomain Routing). Il s’agit là d’une notation particulièrement utile pour définir et gérer des sous-réseaux (exemple : 192.168.0.4/24).
Généralement, une adresse IPv4 est écrite sous forme décimale. Mais d’autres formes sont également utilisées, comme le binaire, l’hexadécimal ou l’octal, qui peuvent avoir leur intérêt. Or, le logiciel netmask ne gérait pas la forme octale. L’adresse 0127.0.0.1 était interprétée comme 127.0.0.1 (localhost), alors qu’il s’agit en réalité de 87.0.0.1. Une confusion qui, on se doute bien, peut être fatale dans bien des cas. « L’individu qui contrôle 87.0.0.1, quelqu’un qui se trouve en Italie et qui est connecté à Telecom Italia, pourrait diffuser des malwares à une application qui utilise netmask pour vérifier qu’une requête en bien locale ou non », soulignent les chercheurs.
Les chercheurs ont alerté le développeur de netmask, qui n’est pas un inconnu. Il s’agit d’Olivier Poitrey, directeur de l’ingénierie chez Netflix et cofondateur de Dailymotion. Ensemble, ils ont développé un patch, disponible avec la version netmask 2.0. Charge aux développeurs de mettre désormais leurs projets à jour.
source : 01net