[Linux/Kernel] Paketfilter und SYN-Cookies
(2001-11-09 17:01:36+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00019.htmlFalls ein Kernel-Paketfilter in Verbindung mit SYN-Cookies verwendet wird, kann ein Angreifer u.U. Filterregeln für das Aufbauen von TCP-Verbindungen umgehen.
Betroffene Systeme
- Systeme mit Linux-Kernel der Serien 2.0, 2.2 (bis 2.2.19 einschließlich), 2.4, die einen Paketfilter (ipfw, ipchains, iptables) betreiben und bei denen SYN-Cookies aktiviert sind.
Nicht betroffene Systeme
- Systeme, die Kernel-Version 2.2.20 einsetzen.
Einfallstor
TCP-Verbindungen
Auswirkung
Ein Angreifer kann TCP-Verbindungen durch den Paketfilter aufbauen, obwohl die Regeln dies eigentlich untersagen.
Typ der Verwundbarkeit
Scbwache Zufallszahlen
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
SYN-Cookies werden verwendet, um Systeme vor gewissen DoS-Angriffen, die durch Eigenheiten des TCP-Protokolls ermöglicht werden, zu schützen. Ein Server- oder Firewall-System, welches SYN-Cookies implementiert, schickt beim Aufbauen einer TCP-Verbindung ein sogenanntes SYN-Cookie, auf das der Client korrekt antworten muß; erst dann wird mit dem üblichen Handshake begonnen. Zur Erzeugung des SYN-Cookies werden von verwundbaren Versionen des Linux-Kernels jedoch schwache Zufallszahlen verwendet. Dies führt dazu, daß ein Angreifer in der Lage ist, die SYN-Cookies zu erraten. Da SYN-Cookies vom Paketfilter-Code bevorzugt behandelt werden, kann ein Angreifer auf diese Weise Regeln im Paketfilter umgehen.
Es ist gegenwärtig unklar, ob das Problem vollständig behoben wurde, da 24 zufällige Bits doch sehr wenig Entropie enthalten.
Gegenmaßnahmen
- Temporär: Abschalten von SYN-Cookies über:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=552