Ethernet-Frames können am Ende einen Bereich enthalten, der ungenutzt ist. Über diesen Bereich lecken bei bestimmten Systemen unter Umständen kritische Daten.

Betroffene Systeme

• Zahlreiche Ethernet-Karten-Treiber in Linux 2.4.18
• Windows-Systeme, die bestimmte Ethernet-Karten-Treiber verwenden, die nicht von Microsoft entwickelt wurden.

Nicht betroffene Systeme

• Windows-Systeme, die ausschließlich von Microsoft entwickelte Treiber verwenden (siehe Beschreibung).
• Aktuelle Versionen von Cisco IOS 12.1 und 12.2 (siehe Beschreibung).

Einfallstor

• Angreifer können über das Netz kleine IP-Pakete an Endsysteme schicken, um Antworten auszulösen, in denen Daten über ungenutzte Bereiche in Ethernet-Frames lecken.
• Angreifer können derartige Pakete über von der Schwachstelle betroffene Router schicken, wodurch ebenfalls Daten lecken können (evtl. zwischen VLANs oder anderweitig getrennten Netzbereichen).

Auswirkung
Es lecken Daten über die ungenutzten Bereiche in den Ethernet-Frames. Diese Daten standen vorher im Hauptspeicher, typisch sind Teile vorangegangener Pakete.

Typ der Verwundbarkeit
information leak

Gefahrenpotential
hoch bis sehr hoch (abhängig vom Treiber)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
In lokalen Netzen werden heutzutage üblicherweise IP-Pakete in Ethernet-Frames verschickt. Sowohl Ethernet-Frames als auch IP-Pakete tragen eine Längenangabe. Das Ethernet-Protokoll schreibt vor, daß Frames eine gewisse Mindestgröße nicht unterschreiten. Falls kleinere IP-Pakete verschickt werden, wird innerhalb des Frames ein ungenutzter Bereich ("Padding") angehängt. Bei der Konstruktion eines Ethernet-Frames kopieren bestimmte Implementierungen nur das enthaltene IP-Paket und überschreiben nicht die ungenutzten Daten am Ende. Anschließend wird der gesamte Frame verschickt, auch mit den ungenutzten Daten. Dadurch können letztlich kritische Daten nach außen lecken.

Die Auswirkung dieser Schwachstelle ist i.d.R. auf das lokale Netz (bzw. die lokale Broadcast Domain) beschränkt, da einerseits korrekt implementierte Router die ungenutzten Bytes überschreiben, andererseits im WAN-Bereich üblicherweise andere Protokolle zum Einsatz kommen, bei der Umsetzung zwischen Ethernet und dem WAN-Protokoll die ungenutzten Bytes verworfen werden und somit die enthaltenen Daten nicht ins WAN lecken.

Windows-Systeme scheinen von dieser Schwachstelle ebenfalls betroffen zu sein. Zwar ist dieser Fehler in den von Microsoft entwickelten Treibern nicht enthalten, aber von Microsoft verteilte Dokumentation zur Treiberentwicklung enthält diesen Fehler. Offenbar wurde er auch von einigen Treiber-Entwicklern übernommen, so daß manche Windows-Systeme letztlich doch betroffen sind. Details liegen jedoch nicht vor.

In Cisco IOS wurde ein ähnlicher Fehler im Zusammenhang mit CEF bereits Anfang 2002 behoben.

Gegenmaßnahmen

• Linux: Es ist davon auszugehen, daß diese Probleme nach und nach in zukünftigen Linux-Versionen behoben werden.

Vulnerability ID

• CERT/CC Vulnerability Note VU#412115

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/