RUS-CERT-670 – Archivierte Meldung

Meldung Nr: RUS-CERT-670

[GNU/Linux] Speicher kann über ICMP-Nachrichten ausgelesen werden
(2002-01-21 19:23:30+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/01/msg00239.html

Durch einen Pufferunterlauf verschickt der IP-Stack von Linux unter Umständen jüngst freigegebene, aber noch nicht überschriebene Speicherbereiche über das Netz.

Betroffene Systeme

Systeme mit Linux-Kernel

Zumindest die 2.4.x-Versionen scheinen von diesem Problem betroffen zu sein, für andere Systeme liegen keine Daten vor.

Einfallstor
Empfang von fragmentierten IP-Paketen (IPv4 oder IPv6) und daraus resultierender Versand von ICMP--Nachrichten

Auswirkung
Es wird eine nicht näher kontrollierebare Stelle aus dem RAM der Maschine übertragen, die möglicherweise sensitive Daten enthält.

Typ der Verwundbarkeit
buffer underflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine IP-Implementierung muß eine ICMP-Nachricht für ein fragmentiertes IP-Paket generieren, wenn die restlichen Fragmente nicht oder nicht rechtzeitig eintreffen. Der entsprechende Code im Linux-Kernel schickt offenbar stets den Anfang des Kernel-internen Puffers, auch wenn noch nicht soviel Daten über das Netz eintrafen. Dadurch können Daten, die schon länger an dieser Stelle im Speicher stehen, über das Netz verschickt werden. Die Art der Daten ist dabei dem Zufall überlassen; es können beispielsweise Paßwörter sein.

Gegenmaßnahmen

Einspielen eines Patches von Andi Kleen. Hinweis: Dieser Patch wurde noch nicht sorgfältig getestet, es kann daher zu Problemen kommen. Auch scheint er IPv6 nicht komplett abzudecken.

Workaround

Defragmentieren von IP-Paketen bereits an der Firewall (und nicht erst auf dem Host).
Das Filtern von ICMP-Nachrichten kann den Netzverkehr in unvorhergesehener Weise beeinträchtigen und sollte daher vermieden werden.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=670