Der MAC-basierte Filter von iptables im Linux-Kernel verarbeitet sehr kleine Pakete nicht korrekt und läßt diese passieren.

Betroffene Systeme

• Systeme, die einen Linux-Kernel mit iptables und einem Paketfilter verwenden, welcher MAC-Adressen berücksichtigt.

Einfallstor
Kleine IP-Pakete, die von oder zu einem System übertragen werden, welche durch einen Filter auf MAC-Adressen gesperrt werden sollten.

Auswirkung
Pakete werden vom Paketfilter durchgelassen. Weitere Auswirkungen hängen von den Systemen und Diensten ab, die der Paketfilter schützt.

Typ der Verwundbarkeit
Umgehung des Paketfilters (packet filter bypass vulnerability)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Programmierfehler läßt das Modul mac von iptables kleine Pakete durch, die durch einen Filter auf der Quell-MAC-Adresse in der Paketfilter-Konfiguration gesperrt werden. Um diesen Fehler auszunutzen, darf die Gesamtlänge der Pakete 32 Bytes nicht überschreiten. Nur wenige Protokolle verwenden solch kleine Pakete, darunter ICMP und Symantecs pcAnywhere.

Gegenmaßnahmen

• Einspielen des im Original-Advisory enthaltenen Kernel-Patches

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/