Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie WAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server Mini 4K
  • Sévérité Critique
  • Priorité Très Basse
  • Basée sur la version 4.0.7
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Bylon - 02/06/2020
Dernière modification par mbizon - 17/07/2020

FS#30674 - Vulnérabilité réseau

Un vulnérabilité réseau (WAN) a été signalée en privé à Free (le 1/06/2020)

Freebox Server participant au flux réseau pourrait être impliquée (bien que sans doute peu probable).

Pas de détail rendu public à ce stade.

Fermée par  mbizon
17.07.2020 19:03
Raison de la fermeture :  Résolu
Admin

Bonjour

Où l'avez-vous signalée ?

Cdt

Bylon a commenté le 02.06.2020 17:57

Bonjour,

"Assitance de proximité" (c'est à dire qu'on ne peut parler à personne !)

S'il y a un meilleur endroit, je suis prêt à le faire (avec les traces réseau -tcpdump- client et serveur en PJ... et en privé !)

Merci d'avance.

Admin

Ici, c'est un meilleur endroit.

Sinon il existe une ML, mais je ne la communique pas en public (elle est trouvable sur le net) sinon les utilisateurs la confondent avec une adresse pour joindre le SAV ;-)

Cdt

Bylon a commenté le 03.06.2020 11:28

Croyez-moi, vous ne voulez pas que l'incident dont je parle se retrouve dans les colonnes de Next Inpact ou sur le blog de Korben...

Ici est un endroit public, et ce n'est pas comme cela qu'on "disclose" en général les problèmes de sécurité.

Maintenant, si vous assumez la transparence au risque de ce que je cite ci-dessus, je veux bien donner tous les détails en public, ça ne me pose pas de problème de mon côté !..

Donc j'attends soit votre confirmation pour exposer la vulnérabilité au public dès aujourd'hui sur ce site, soit un endroit où je peux vous l'exposer de manière "privée".

... et sans doute que si les gens "confondent avec la SAV", c'est que le nouveau SAV ("assistance de proximité"...) ne répond pas : absolument aucune nouvelle (hormis la réponse automatique) de mon message posté lundi. Pour une faille critique c'est un peu grave !..

Comme dit dans le post initial, j'espère que ça ne vient pas de la Freebox elle-même (et à mon idée c'est peu problable), car si c'était le cas ma seule solution serait alors de changer d'opérateur !.. Mais la Freebox étant un "élément du réseau", et à défaut d'autre endroit pour exposer les sujets "réseau en général" ou d'un SAV réactif, j'ai préféré poster ici.

Admin

Ok

Possible de poster sur cette ML :

security@freebox.fr

Merci

Cdt

Bylon a commenté le 03.06.2020 14:19

Ok, je vous envoie ça via mon mail Free.

Cordialement

Admin

Correction : l'adresse est en cours de migration.

Possible de l'envoyer à mbizon@freebox.fr à la place ?

Merci

Bylon a commenté le 03.06.2020 15:25

Bien sûr... après mon télé-travail ! ;-)

Cordialement

Bylon a commenté le 04.06.2020 15:36

Message envoyé à Maxime Bizon (+ copie mon prestataire serveur qui est de toute façon déjà au courant du sujet !)

Est-ce lié à PPP?

Si oui, j'ai déjà signalé ici:
- https://dev.freebox.fr/bugs/task/29570 - https://dev.freebox.fr/bugs/task/25774

Bylon a commenté le 24.06.2020 10:19

Bonjour Neustradamus, ce n'est nullement lié à PPP (c'est plus "grave" à mon sens !).

Les éléments sont dans les mains de Free. Depuis le 5 juin Maxime Bizon a accusé réception du sujet.

Free va désormais analyser si cela peut avoir des impacts sécurité, et j'espère, corriger le problème.

En attendant l'analyse sur ces impacts sécurité, nous avons convenu de ne pas donner davantage de détail.

Je laisse la main à Free, si ils déterminent qu'il n'y a pas de tels impacts, pour donner le niveau de détail souhaité.

J'espère également n'avoir pas à exposer les détails moi-même, la "deadline" étant donc le 2 septembre !..

@Bylon: Merci pour cette réponse !

Hâte d'être le 2 septembre prochain :)

PS : N'hésitez pas à regarder toutes les failles de sécurité que j'ai signalé sur ce bugtracker que ce soit pour les servers et players !

Bylon a commenté le 24.06.2020 18:12

PPTP/PPP qui était utilisé précédemment pour la connexion par VPN est de toute façon quasi obsolète, remplacé par IKEV2

Il est à mon sens fourni, comme WEP, pour les gens qui n'ont pas d'autre solution de connexion, mais il n'est rien que Free puisse faire pour corriger un protocole déjà compromis.

Sur WEP, la Freebox se défend contre un attaquant en le dés-associant, mais ça ne bloque que les "script-kiddies" qui font tourner des scripts qu'ils ont vu sur le net sans comprendre ce qu'ils font. C'est d'ailleurs la seule box qui "se défend" dans ce cas, preuve que Free est capable de modifier le kernel -ou prendre les bons patch- quand il le faut, mais contre quelqu'un qui sait ce qu'il fait, même la défense de Free ne résiste pas, puisque c'est le protocole lui-même qui est pété.

Il n'y a pas tant que ça de gens dans le monde qui savent modifier le kernel (sans tout casser !..) mais c'est précisément une opération délicate, et parfois on tombe sur des trucs comme des "race conditions" qui sont extrêmement difficile à debugger car cela ne se produit que sous certaines "conditions de température et de pression". Aussi quand on introduit un instrument de mesure pour tâcher de voir ce qu'il se passe, comme on modifie ces fameuses conditions, parfois le bug ne se produit plus.

Bref, bon courage à Free en l'occurrence. :-)

@Bylon: Non, PPP fait plus que ça !
- https://github.com/paulusmack/ppp

En parlant de VPN, il y a de gros problèmes (sécurité + failles) avec VPN/OpenVPN/IKE/...

A la base, j'avais créé ce ticket car le site floss.free.fr n'était pas à jour comparé aux versions de chaque Freebox en service (et c'est toujours le cas malheureusement).
- https://dev.freebox.fr/bugs/task/22518

Pour tous mes tickets, il y en a un paquet, bonne lecture et recherche :)
- https://dev.freebox.fr/bugs/?do=index&project=0&type%5B0%5D=&sev%5B0%5D=&pri%5B0%5D=&due%5B0%5D=&cat%5B0%5D=&status%5B0%5D=&opened=Neustradamus&reported%5B0%5D=

Bylon a commenté le 29.06.2020 17:11

La correction est validée (sur version de test) depuis dimanche 28 juin.

Prévue dans la 4.2 ou avant sur une nouvelle branche si la stabilisation du firmware 4.2 est trop longue.

@Bylon: Nice!

Hâte d'avoir le changelog pour savoir si le problème est lié à un de mes précédents signalements.

Admin
mbizon a commenté le 17.07.2020 19:02

désolé oublié de le mentionner dans le changelog

merci encore pour vos tests

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche