[Linux/Kernel] FTP-Unterstützung in iptables kann Paketfilter aushebeln
(2001-04-23 16:28:31+02) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00294.html
Durch einen Fehler in der FTP-Verbindungsverfolgung kann ein Angreifer unter Umständen den Paketfilter instruieren, beliebige TCP-Verbindungen durchzulassen.
Betroffene Systeme
- Linux-Kernel-Versionen, die
netfilter/iptablesverwenden, bis einschließlich 2.4.3.
Nicht betroffene Systeme
- Linux 2.2 verwendet
ipchainsund ist daher nicht betroffen.
Typ der Verwundbarkeit
design flaw (Filterregeln werden aus nicht zuverlässigen
Daten erzeugt.)
Beschreibung
netfilter/iptables, der Paketfilter des Linux-Kernels,
unterstützt die dynamische Erzeugung von zusätzlichen Filterregeln, um Pakete durchzulassen,
die mit einer bereits aufgebauten Verbindung in Zusammenhang stehen. Das ist insbesondere
bei Protokollen wie FTP essentiell, bei denen eine logische Verbindung auf Netzebene aus mehreren
TCP-Verbindungen besteht. Ebenjenes Modul, welches die sekundären TCP-Verbindungen bei FTP
ermittelt, ist fehlerhaft, so daß der Paketfilter nicht nur Verkehr durchläßt, der
logisch zu einer bestehenden FTP-Verbindung gehört, sondern weitaus mehr.
Damit der Fehler tatsächlich von einem Angreifer ausgenutzt werden kann, müssen folgende Voraussetzungen erfüllt sein:
netfilter/iptablesmuß aktiviert sein.- FTP connection tracking muß verwendet werden. Dazu ist notwendig, daß die entsprechende Option bei der Kernel-Kompilierung aktiviert wurde und/oder das Kernel-Modul geladen wurde.
- Es muß eine Regel wie
iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
in der Konfiguration des Paketfilters auftauchen.
- Ein Angreifer, der Kontrolle über einen FTP-Server hat, zu dem ein durch einen verwundbaren Paketfilter geschützter Client eine FTP-Verbindung aufbaut, kann beliebige TCP-Verbindungen in das von diesem Paketfilter zu schützende Netz aufbauen.
- Falls der Paketfilter einen FTP-Server schützt, reicht die Kontrolle über den FTP-Server aus, um beliebige TCP-Verbindungen durch den Paketfilter aufzubauen. Der FTP-Server kann daher, trotz des Paketfilters, als Plattform für weitere Angriffe verwendet werden.
Gefahrenpotential
sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Gegenmaßnahmen
- Installation des Patches, der in folgendem Advisory enthalen ist:
- Einspielen eines Hersteller-Updates:
Workaround
- Downgrade auf Linux 2.2. Für kritische Filter ist derzeit noch
ipchainszu empfehlen. Es ist wahrscheinlich, daß noch weitere derartige Fehler im neuen Paketfilter der 2.4-Serie auftauchen, insbesondere im Zusammenhang mit NAT/Masquerading.
Generelle Empfehlung zu FTP
Wegen der archaischen Aspekte von FTP, die einst z.B. dazu gedacht waren, von
einem Terminal per FTP einen Host zu veranlassen, eine Datei direkt zu einem
Drucker zu schicken, oder Dateien direkt zwischen FTP-Servern transferieren zu können,
läßt sich das Problem nicht vollständig zuverlässig lösen. Auch wegen der Klartextübermittlung
von Paßwörtern ist es empfehlenswert, zur Dateiübertragung Protokolle wie SSH zu verwenden.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.