Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-726

[GNU/Linux] IRC-Unterstützung in netfilter kann Paketfilter aushebeln
(2002-03-01 21:51:01+00)

Quelle: http://www.netfilter.org/security/2002-02-25-irc-dcc-mask.html

Durch einen Fehler in der IRC-Verbindungsverfolgung kann ein Angreifer unter Umständen den Paketfilter instruieren, weitestgehend beliebige TCP-Verbindungen durchzulassen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
IRC-DCC-Verbindungen

Auswirkung
Der Paketfilter markiert pakete als RELATED (zu einer bestehenden Verbindung gehörig), obwohl sie es nicht sind. Die weiteren Auswirkungen hängen von den Regeln ab; i.d.R. dürfte dies zum unbeabsichtigten Durchlassen von Paketen führen.

Typ der Verwundbarkeit
Implementationsfehler

Gefahrenpotential
mittel bis sehr hoch (je nach Struktur des Netzes)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine IRC-Sitzung besteht bei der Verwendung von DCC aus mehreren TCP-Verbindungen, deren Aufbau in unterschiedliche Richtungen abläuft (ähnlich wie bei FTP). Ein Paketfilter, der die vollständige IRC-Funktionalität nutzbar machen möchte, ist daher darauf angewiesen, die sekundären TCP-Verbindungen nutzbar zu machen.

Der netfilter-Kernel-Code enthält zu diesem Zweck das Modul ip_conntrack_irc. Zu einer IRC-Verbindung werden aber nicht nur alle für DCC-Verbindungen zu einem bestimmten TCP-Port auf einem bestimmten Host als zugehörig angesehen, sondern alle TCP-Verbindungen zu diesem Port auf allen Hosts. Dies reißt unter Umständen eine große Lücke im Paketfilter.

Damit der Fehler tatsächlich von einem Angreifer ausgenutzt werden kann, müssen folgende Voraussetzungen erfüllt sein:

Die Schwachstelle wird dann kritisch, wenn auf einer Seite des Paketfilters ein System steht, welches ein Angreifer dazu verleiten kann, DCC-Verbindungen auf einem bestimmten TCP-Port entgegenzunehmen. Der Angreifer kann dann auch zu anderen, sonst geschützten Systemen Verbindungen mit diesem TCP-Port aufbauen.

Gegenmaßnahmen

Workaround

Vulnerability ID

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=726