Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie WAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server Mini 4K
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.0.7
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#30674 - Vulnérabilité réseau

Un vulnérabilité réseau (WAN) a été signalée en privé à Free (le 1/06/2020)

Freebox Server participant au flux réseau pourrait être impliquée (bien que sans doute peu probable).

Pas de détail rendu public à ce stade.

Cette tache ne dépend pas d'autre tache

Thibaut Freebox (Thibaut Freebox)
Tuesday 2 June, 2020 15:08:09

Bonjour

Où l'avez-vous signalée ?

Cdt

Alain (Bylon)
Tuesday 2 June, 2020 17:57:04

Bonjour,

"Assitance de proximité" (c'est à dire qu'on ne peut parler à personne !)

S'il y a un meilleur endroit, je suis prêt à le faire (avec les traces réseau -tcpdump- client et serveur en PJ... et en privé !)

Merci d'avance.

Thibaut Freebox (Thibaut Freebox)
Wednesday 3 June, 2020 09:39:01

Ici, c'est un meilleur endroit.

Sinon il existe une ML, mais je ne la communique pas en public (elle est trouvable sur le net) sinon les utilisateurs la confondent avec une adresse pour joindre le SAV ;-)

Cdt

Alain (Bylon)
Wednesday 3 June, 2020 11:28:10

Croyez-moi, vous ne voulez pas que l'incident dont je parle se retrouve dans les colonnes de Next Inpact ou sur le blog de Korben...

Ici est un endroit public, et ce n'est pas comme cela qu'on "disclose" en général les problèmes de sécurité.

Maintenant, si vous assumez la transparence au risque de ce que je cite ci-dessus, je veux bien donner tous les détails en public, ça ne me pose pas de problème de mon côté !..

Donc j'attends soit votre confirmation pour exposer la vulnérabilité au public dès aujourd'hui sur ce site, soit un endroit où je peux vous l'exposer de manière "privée".

... et sans doute que si les gens "confondent avec la SAV", c'est que le nouveau SAV ("assistance de proximité"...) ne répond pas : absolument aucune nouvelle (hormis la réponse automatique) de mon message posté lundi. Pour une faille critique c'est un peu grave !..

Comme dit dans le post initial, j'espère que ça ne vient pas de la Freebox elle-même (et à mon idée c'est peu problable), car si c'était le cas ma seule solution serait alors de changer d'opérateur !.. Mais la Freebox étant un "élément du réseau", et à défaut d'autre endroit pour exposer les sujets "réseau en général" ou d'un SAV réactif, j'ai préféré poster ici.

Thibaut Freebox (Thibaut Freebox)
Wednesday 3 June, 2020 12:16:59

Ok

Possible de poster sur cette ML :

security@freebox.fr

Merci

Cdt

Alain (Bylon)
Wednesday 3 June, 2020 14:19:57

Ok, je vous envoie ça via mon mail Free.

Cordialement

Thibaut Freebox (Thibaut Freebox)
Wednesday 3 June, 2020 15:20:06

Correction : l'adresse est en cours de migration.

Possible de l'envoyer à mbizon@freebox.fr à la place ?

Merci

Alain (Bylon)
Wednesday 3 June, 2020 15:25:54

Bien sûr... après mon télé-travail ! ;-)

Cordialement

Alain (Bylon)
Thursday 4 June, 2020 15:36:44

Message envoyé à Maxime Bizon (+ copie mon prestataire serveur qui est de toute façon déjà au courant du sujet !)

Neustradamus (Neustradamus_)
Wednesday 24 June, 2020 08:34:14

Est-ce lié à PPP?

Si oui, j'ai déjà signalé ici:
- https://dev.freebox.fr/bugs/task/29570 - https://dev.freebox.fr/bugs/task/25774

Alain (Bylon)
Wednesday 24 June, 2020 10:19:31

Bonjour Neustradamus, ce n'est nullement lié à PPP (c'est plus "grave" à mon sens !).

Les éléments sont dans les mains de Free. Depuis le 5 juin Maxime Bizon a accusé réception du sujet.

Free va désormais analyser si cela peut avoir des impacts sécurité, et j'espère, corriger le problème.

En attendant l'analyse sur ces impacts sécurité, nous avons convenu de ne pas donner davantage de détail.

Je laisse la main à Free, si ils déterminent qu'il n'y a pas de tels impacts, pour donner le niveau de détail souhaité.

J'espère également n'avoir pas à exposer les détails moi-même, la "deadline" étant donc le 2 septembre !..

Neustradamus (Neustradamus_)
Wednesday 24 June, 2020 16:04:38

@Bylon: Merci pour cette réponse !

Hâte d'être le 2 septembre prochain :)

PS : N'hésitez pas à regarder toutes les failles de sécurité que j'ai signalé sur ce bugtracker que ce soit pour les servers et players !

Alain (Bylon)
Wednesday 24 June, 2020 18:12:58

PPTP/PPP qui était utilisé précédemment pour la connexion par VPN est de toute façon quasi obsolète, remplacé par IKEV2

Il est à mon sens fourni, comme WEP, pour les gens qui n'ont pas d'autre solution de connexion, mais il n'est rien que Free puisse faire pour corriger un protocole déjà compromis.

Sur WEP, la Freebox se défend contre un attaquant en le dés-associant, mais ça ne bloque que les "script-kiddies" qui font tourner des scripts qu'ils ont vu sur le net sans comprendre ce qu'ils font. C'est d'ailleurs la seule box qui "se défend" dans ce cas, preuve que Free est capable de modifier le kernel -ou prendre les bons patch- quand il le faut, mais contre quelqu'un qui sait ce qu'il fait, même la défense de Free ne résiste pas, puisque c'est le protocole lui-même qui est pété.

Il n'y a pas tant que ça de gens dans le monde qui savent modifier le kernel (sans tout casser !..) mais c'est précisément une opération délicate, et parfois on tombe sur des trucs comme des "race conditions" qui sont extrêmement difficile à debugger car cela ne se produit que sous certaines "conditions de température et de pression". Aussi quand on introduit un instrument de mesure pour tâcher de voir ce qu'il se passe, comme on modifie ces fameuses conditions, parfois le bug ne se produit plus.

Bref, bon courage à Free en l'occurrence. :-)

Neustradamus (Neustradamus_)
Wednesday 24 June, 2020 19:15:18

@Bylon: Non, PPP fait plus que ça !
- https://github.com/paulusmack/ppp

En parlant de VPN, il y a de gros problèmes (sécurité + failles) avec VPN/OpenVPN/IKE/...

A la base, j'avais créé ce ticket car le site floss.free.fr n'était pas à jour comparé aux versions de chaque Freebox en service (et c'est toujours le cas malheureusement).
- https://dev.freebox.fr/bugs/task/22518

Pour tous mes tickets, il y en a un paquet, bonne lecture et recherche :)
- https://dev.freebox.fr/bugs/?do=index&project=0&type%5B0%5D=&sev%5B0%5D=&pri%5B0%5D=&due%5B0%5D=&cat%5B0%5D=&status%5B0%5D=&opened=Neustradamus&reported%5B0%5D=

Alain (Bylon)
Monday 29 June, 2020 17:11:21

La correction est validée (sur version de test) depuis dimanche 28 juin.

Prévue dans la 4.2 ou avant sur une nouvelle branche si la stabilisation du firmware 4.2 est trop longue.

Neustradamus (Neustradamus_)
Monday 29 June, 2020 23:07:06

@Bylon: Nice!

Hâte d'avoir le changelog pour savoir si le problème est lié à un de mes précédents signalements.

Chargement...