RUS-CERT-521 – Archivierte Meldung

Meldung Nr: RUS-CERT-521

[Linux/Kernel] DoS über Symlink-Verarbeitung
(2001-10-19 17:55:45+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00135.html

Durch das Anlegen sorgfältig gewählter Symlinks kann ein System mit Linux-Kernel beim darauffolgenden Zugriff auf einen dieser Symlinks längere Zeit komplett blockiert werden.

Betroffene Systeme

System mit Linux-Kernel der 2.2.x-Reihe bis einschließlich 2.2.19, sowie Prepatches bis mindestens 2.2.20pre10.
System mit Linux-Kernel der 2.4.x-Reihe bis einschließlich 2.4.10

Von diesem Problem sind möglicherweise auch andere Systeme betroffen, die Dateisysteme mit Symlinks anbieten (z.B. UNIX-Systeme).

Nicht betroffene Systeme

System mit Linux-Kernel der 2.0.x-Reihe
System mit Linux-Kernel der 2.2.x-Reihe vorraussichtlich ab 2.2.20
System mit Linux-Kernel der 2.4.x-Reihe ab 2.4.12

Kernel 2.4.11 enthält einen gescheiterten Versuch, das Problem zu beheben.

Einfallstor
Lokaler Account (oder eine andere Möglichkeit, beliebig symbolische Links anzulegen).

Auswirkung
Das System verwendet Minuten bis Stunden ausschließlich zur Auflösung eines symbolischen Links.

Typ der Verwundbarkeit
denial of service (DoS)

Gefahrenpotential
hoch (bei Multiusersystemen mit nicht vertrauenswürdigen Nutzern)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Unter UNIX-Systemen werden symbolische Links (im Gegensatz zu den sogenannten hard links) im Prinzip bei jedem Zugriff aufgelöst. Dabei kann ein Symlink auf weitere Symlinks verweisen. Um Schleifen zu vermeiden (Symlink A verweist auf B und umgekehrt) und um lokale DoS-Angriffe zu unterbinden, wird die Tiefe, bis in die Symlinks aufgelöst werden, vom Kernel begrenzt. Die Begrenzung ist in den betroffenen Kernel-Versionen nicht vollständig wirksam, da es nicht nur auf die Tiefe ankommt, sondern auf die Gesamtzahl der Pfadkomponenten, die auf Symlinks überprüft werden müssen. Durch eine geschickte Verschränkung kann diese Situation mit sehr wenig Symlinks herbeigeführt werden. Da die Symlink-Verarbeitung nicht unterbrechbar ist, kann ein lokaler Angreifer das System über einen längeren Zeitraum vollständig blockieren.

Gegenmaßnahmen

Einspielen der Patches aus dem Original-Advisory, oder Umstieg auf eine korrigierte Kernel-Version.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=521