[Linux/sysklogd] DoS-Angriff auf Kernel-Logger möglich
(2001-06-15 18:56:23+02) Druckversion
Quelle: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=85478
Falls der Kernel-Logger klogd aus dem
sysklogd-Paket geeignete Daten vom Kernel erhält, stellt
er die weitere Logging-Tätigkeit ein.
Betroffene Systeme
- Systeme, die den Linux-Kernel in Verbindung mit
sysklogdverwenden (also die meisten GNU/Linux-Systeme).
Einfallstor
Vermutlich ist interaktiver Zugang nötig, aber eine Einschätzung ist
schwierig.
Auswirkung
denial of service, der Kernel-Logger stellt die Arbeit ein.
Typ der Verwundbarkeit
Schachtelung von Parsern, die zu einer Endlosschleife führt.
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Falls der Kernel ein NUL-Zeichen (ASCII 000) über die Logging-Schnittstelle
an klogd weiterreicht, gerät klogd in eine Endlosschleife,
die nicht nur unnötig CPU-Zyklen verbraucht, sondern auch weiteres Logging
verhindert.
Es ist gegenwärtig unklar, unter welchen Voraussetzungen der Kernel ein
NUL-Zeichen loggt; möglicherweise kann ein lokaler Nutzer (oder gar ein
Angreifer über das Netz) das Logging gezielt abstellen. Da davon auch
das Logging des Paketfilters betroffen ist, kann das u.U. ausgesprochen
unerwünscht sein.
Gegenmaßnahmen
- Installation einer gepatchten Version von
sysklogd(siehe z.B. die Debian-Bugdatenbank).
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.