Astaro 2.0 & denial of service

Hi Janne,

your info is a bit insufficient :-). Saying the system is vulnerable of DOS attacks is like saying that a car is vulnerable of breaking down :-)

Did you scan it from the outside or the inside however, and what _specific_ vulnerabillities did Cybercop suggest it had?

Nothing is bulletproof!

Best regards,
Ørjan Sandland

Hi !

I scanned from Internet Astaro outside port, as I check other firewall configurations for misconfigurations / holes.

The actual Cybercop vulnerability id is 8054 saying the following:

Risk factor: High
Security Concerns: Any remote user can crash or hang a vulnerable machine, or cause the system ot behave in unpredictable ways.

... feature I don't want to have in a firewall.

Quoted from NAI Cybercop explanation page (http://hq.mcafeeasap.com/vulnerabilities/vuln_data/8000.asp) Lookup 8054 on that page:


8054 BSD Option Fragmentation Vulnerability  


The IP fragment reassembly algorithm in some BSD-derived TCP/IP implementations incorrectly reassembles fragments containing invalid IP options. This vulnerability could allow an attacker to remotely crash or disrupt service on the target system by sending carefully crafted packets that contain these invalid options. Vulnerable systems include BSDI, FreeBSD, and OpenBSD. 

This can not apply as Astaro is based on Linux, not *BSD, can it?

The IP stack in Linux (and Windows for that matter) is based on the original *BSD implimentation, so a vunerability potentially exists.

The IP stack in Linux (and Windows for that matter) is based on the original *BSD implimentation, so a vunerability potentially exists.