Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1053

[Generic/Ethernet] Datenleck über ungenutzte Bereiche in Frames
(2003-01-10 10:10:37.909633+00)

Quelle: http://www.atstake.com/research/advisories/2003/atstake_etherleak_report.pdf

Ethernet-Frames können am Ende einen Bereich enthalten, der ungenutzt ist. Über diesen Bereich lecken bei bestimmten Systemen unter Umständen kritische Daten.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Auswirkung
Es lecken Daten über die ungenutzten Bereiche in den Ethernet-Frames. Diese Daten standen vorher im Hauptspeicher, typisch sind Teile vorangegangener Pakete.

Typ der Verwundbarkeit
information leak

Gefahrenpotential
hoch bis sehr hoch (abhängig vom Treiber)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
In lokalen Netzen werden heutzutage üblicherweise IP-Pakete in Ethernet-Frames verschickt. Sowohl Ethernet-Frames als auch IP-Pakete tragen eine Längenangabe. Das Ethernet-Protokoll schreibt vor, daß Frames eine gewisse Mindestgröße nicht unterschreiten. Falls kleinere IP-Pakete verschickt werden, wird innerhalb des Frames ein ungenutzter Bereich ("Padding") angehängt. Bei der Konstruktion eines Ethernet-Frames kopieren bestimmte Implementierungen nur das enthaltene IP-Paket und überschreiben nicht die ungenutzten Daten am Ende. Anschließend wird der gesamte Frame verschickt, auch mit den ungenutzten Daten. Dadurch können letztlich kritische Daten nach außen lecken.

Die Auswirkung dieser Schwachstelle ist i.d.R. auf das lokale Netz (bzw. die lokale Broadcast Domain) beschränkt, da einerseits korrekt implementierte Router die ungenutzten Bytes überschreiben, andererseits im WAN-Bereich üblicherweise andere Protokolle zum Einsatz kommen, bei der Umsetzung zwischen Ethernet und dem WAN-Protokoll die ungenutzten Bytes verworfen werden und somit die enthaltenen Daten nicht ins WAN lecken.

Windows-Systeme scheinen von dieser Schwachstelle ebenfalls betroffen zu sein. Zwar ist dieser Fehler in den von Microsoft entwickelten Treibern nicht enthalten, aber von Microsoft verteilte Dokumentation zur Treiberentwicklung enthält diesen Fehler. Offenbar wurde er auch von einigen Treiber-Entwicklern übernommen, so daß manche Windows-Systeme letztlich doch betroffen sind. Details liegen jedoch nicht vor.

In Cisco IOS wurde ein ähnlicher Fehler im Zusammenhang mit CEF bereits Anfang 2002 behoben.

Gegenmaßnahmen

Vulnerability ID

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1053