[Linux/Kernel] Paketfilter und SYN-Cookies
(2001-11-09 17:01:36+00) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00019.html
Falls ein Kernel-Paketfilter in Verbindung mit SYN-Cookies verwendet wird, kann ein Angreifer u.U. Filterregeln für das Aufbauen von TCP-Verbindungen umgehen.
Betroffene Systeme
- Systeme mit Linux-Kernel der Serien 2.0, 2.2 (bis 2.2.19 einschließlich), 2.4, die einen Paketfilter (ipfw, ipchains, iptables) betreiben und bei denen SYN-Cookies aktiviert sind.
Nicht betroffene Systeme
- Systeme, die Kernel-Version 2.2.20 einsetzen.
Einfallstor
TCP-Verbindungen
Auswirkung
Ein Angreifer kann TCP-Verbindungen durch den Paketfilter aufbauen,
obwohl die Regeln dies eigentlich untersagen.
Typ der Verwundbarkeit
Scbwache Zufallszahlen
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
SYN-Cookies werden verwendet, um Systeme vor gewissen DoS-Angriffen,
die durch Eigenheiten des TCP-Protokolls ermöglicht werden, zu
schützen. Ein Server- oder Firewall-System, welches SYN-Cookies
implementiert, schickt beim Aufbauen einer TCP-Verbindung
ein sogenanntes SYN-Cookie, auf das der Client korrekt antworten
muß; erst dann wird mit dem üblichen Handshake begonnen. Zur Erzeugung
des SYN-Cookies werden von verwundbaren Versionen des Linux-Kernels
jedoch schwache Zufallszahlen verwendet. Dies führt dazu, daß ein
Angreifer in der Lage ist, die SYN-Cookies zu erraten. Da SYN-Cookies
vom Paketfilter-Code bevorzugt behandelt werden, kann ein Angreifer
auf diese Weise Regeln im Paketfilter umgehen.
Es ist gegenwärtig unklar, ob das Problem vollständig behoben wurde, da 24 zufällige Bits doch sehr wenig Entropie enthalten.
Gegenmaßnahmen
- Temporär: Abschalten von SYN-Cookies über:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.