You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-552

[Linux/Kernel] Paketfilter und SYN-Cookies
(2001-11-09 17:01:36+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00019.html

Falls ein Kernel-Paketfilter in Verbindung mit SYN-Cookies verwendet wird, kann ein Angreifer u.U. Filterregeln für das Aufbauen von TCP-Verbindungen umgehen.

Betroffene Systeme

  • Systeme mit Linux-Kernel der Serien 2.0, 2.2 (bis 2.2.19 einschließlich), 2.4, die einen Paketfilter (ipfw, ipchains, iptables) betreiben und bei denen SYN-Cookies aktiviert sind.

Nicht betroffene Systeme

  • Systeme, die Kernel-Version 2.2.20 einsetzen.

Einfallstor
TCP-Verbindungen

Auswirkung
Ein Angreifer kann TCP-Verbindungen durch den Paketfilter aufbauen, obwohl die Regeln dies eigentlich untersagen.

Typ der Verwundbarkeit
Scbwache Zufallszahlen

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
SYN-Cookies werden verwendet, um Systeme vor gewissen DoS-Angriffen, die durch Eigenheiten des TCP-Protokolls ermöglicht werden, zu schützen. Ein Server- oder Firewall-System, welches SYN-Cookies implementiert, schickt beim Aufbauen einer TCP-Verbindung ein sogenanntes SYN-Cookie, auf das der Client korrekt antworten muß; erst dann wird mit dem üblichen Handshake begonnen. Zur Erzeugung des SYN-Cookies werden von verwundbaren Versionen des Linux-Kernels jedoch schwache Zufallszahlen verwendet. Dies führt dazu, daß ein Angreifer in der Lage ist, die SYN-Cookies zu erraten. Da SYN-Cookies vom Paketfilter-Code bevorzugt behandelt werden, kann ein Angreifer auf diese Weise Regeln im Paketfilter umgehen.

Es ist gegenwärtig unklar, ob das Problem vollständig behoben wurde, da 24 zufällige Bits doch sehr wenig Entropie enthalten.

Gegenmaßnahmen

  • Temporär: Abschalten von SYN-Cookies über:
    echo 0 > /proc/sys/net/ipv4/tcp_syncookies
    

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.