[Linux/Kernel] MAC-Filter in iptables fehlerhaft
(2001-10-10 13:59:37+02) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00051.html
Der MAC-basierte Filter von iptables
im Linux-Kernel verarbeitet sehr kleine
Pakete nicht korrekt und läßt diese passieren.
Betroffene Systeme
- Systeme, die einen Linux-Kernel mit
iptablesund einem Paketfilter verwenden, welcher MAC-Adressen berücksichtigt.
Einfallstor
Kleine IP-Pakete, die von oder zu einem System übertragen
werden, welche
durch einen Filter auf MAC-Adressen gesperrt werden sollten.
Auswirkung
Pakete werden vom Paketfilter durchgelassen. Weitere Auswirkungen
hängen von den Systemen und Diensten ab, die der Paketfilter schützt.
Typ der Verwundbarkeit
Umgehung des Paketfilters (packet filter bypass vulnerability)
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Durch einen Programmierfehler läßt das Modul mac
von iptables kleine
Pakete durch, die durch einen Filter auf
der Quell-MAC-Adresse in der Paketfilter-Konfiguration gesperrt
werden. Um diesen Fehler auszunutzen, darf die Gesamtlänge der Pakete 32 Bytes nicht überschreiten. Nur wenige Protokolle verwenden solch
kleine Pakete, darunter ICMP und Symantecs pcAnywhere.
Gegenmaßnahmen
- Einspielen des im Original-Advisory enthaltenen Kernel-Patches
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.