Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-389

[Linux/sysklogd] DoS-Angriff auf Kernel-Logger möglich
(2001-06-15 16:56:23+00)

Quelle: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=85478

Falls der Kernel-Logger klogd aus dem sysklogd-Paket geeignete Daten vom Kernel erhält, stellt er die weitere Logging-Tätigkeit ein.

Betroffene Systeme

Einfallstor
Vermutlich ist interaktiver Zugang nötig, aber eine Einschätzung ist schwierig.

Auswirkung
denial of service, der Kernel-Logger stellt die Arbeit ein.

Typ der Verwundbarkeit
Schachtelung von Parsern, die zu einer Endlosschleife führt.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Falls der Kernel ein NUL-Zeichen (ASCII 000) über die Logging-Schnittstelle an klogd weiterreicht, gerät klogd in eine Endlosschleife, die nicht nur unnötig CPU-Zyklen verbraucht, sondern auch weiteres Logging verhindert. Es ist gegenwärtig unklar, unter welchen Voraussetzungen der Kernel ein NUL-Zeichen loggt; möglicherweise kann ein lokaler Nutzer (oder gar ein Angreifer über das Netz) das Logging gezielt abstellen. Da davon auch das Logging des Paketfilters betroffen ist, kann das u.U. ausgesprochen unerwünscht sein.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=389