Durch einen Fehler in der FTP-Verbindungsverfolgung kann ein Angreifer unter Umständen den Paketfilter instruieren, beliebige TCP-Verbindungen durchzulassen.

Betroffene Systeme

• Linux-Kernel-Versionen, die netfilter/iptables verwenden, bis einschließlich 2.4.3.

Nicht betroffene Systeme

• Linux 2.2 verwendet ipchains und ist daher nicht betroffen.

Typ der Verwundbarkeit
design flaw (Filterregeln werden aus nicht zuverlässigen Daten erzeugt.)

Beschreibung
netfilter/iptables, der Paketfilter des Linux-Kernels, unterstützt die dynamische Erzeugung von zusätzlichen Filterregeln, um Pakete durchzulassen, die mit einer bereits aufgebauten Verbindung in Zusammenhang stehen. Das ist insbesondere bei Protokollen wie FTP essentiell, bei denen eine logische Verbindung auf Netzebene aus mehreren TCP-Verbindungen besteht. Ebenjenes Modul, welches die sekundären TCP-Verbindungen bei FTP ermittelt, ist fehlerhaft, so daß der Paketfilter nicht nur Verkehr durchläßt, der logisch zu einer bestehenden FTP-Verbindung gehört, sondern weitaus mehr.

Damit der Fehler tatsächlich von einem Angreifer ausgenutzt werden kann, müssen folgende Voraussetzungen erfüllt sein:

• netfilter/iptables muß aktiviert sein.
• FTP connection tracking muß verwendet werden. Dazu ist notwendig, daß die entsprechende Option bei der Kernel-Kompilierung aktiviert wurde und/oder das Kernel-Modul geladen wurde.
• Es muß eine Regel wie

  iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
  

  in der Konfiguration des Paketfilters auftauchen.

• Ein Angreifer, der Kontrolle über einen FTP-Server hat, zu dem ein durch einen verwundbaren Paketfilter geschützter Client eine FTP-Verbindung aufbaut, kann beliebige TCP-Verbindungen in das von diesem Paketfilter zu schützende Netz aufbauen.
• Falls der Paketfilter einen FTP-Server schützt, reicht die Kontrolle über den FTP-Server aus, um beliebige TCP-Verbindungen durch den Paketfilter aufzubauen. Der FTP-Server kann daher, trotz des Paketfilters, als Plattform für weitere Angriffe verwendet werden.

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

• Installation des Patches, der in folgendem Advisory enthalen ist:
  • Tempest Security Techonologies -- Adivsory #01/2001 -- Linux IPTables
• Einspielen eines Hersteller-Updates:
  • Red Hat Linux 7.1

Workaround

• Downgrade auf Linux 2.2. Für kritische Filter ist derzeit noch ipchains zu empfehlen. Es ist wahrscheinlich, daß noch weitere derartige Fehler im neuen Paketfilter der 2.4-Serie auftauchen, insbesondere im Zusammenhang mit NAT/Masquerading.

Generelle Empfehlung zu FTP
Wegen der archaischen Aspekte von FTP, die einst z.B. dazu gedacht waren, von einem Terminal per FTP einen Host zu veranlassen, eine Datei direkt zu einem Drucker zu schicken, oder Dateien direkt zwischen FTP-Servern transferieren zu können, läßt sich das Problem nicht vollständig zuverlässig lösen. Auch wegen der Klartextübermittlung von Paßwörtern ist es empfehlenswert, zur Dateiübertragung Protokolle wie SSH zu verwenden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/