Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 1. Juli 2004, 13:51

Software::Kernel

Kernel mit »Packet of Death«-Unterstützung

Ein neuer Fehler im Kernel kann diesen durch das Senden bestimmter TCP-Pakete zum Absturz bringen.

Während vergangene Fehler im Kernel nur beschränkt nutzbar waren, lässt der neue Fehler potentiellen Angreifern viel Freiheit. Das Problem liegt in einem Teil des Kernelcodes, der die TCP-Optionen eines Pakets auswertet. Daher sind nur Systeme gefährdet, die mit iptables Regeln festlegen, die Pakete auf ihre Optionen hin untersuchen.

Die Ursache des Problems ist dieselbe wie bei einem der vor kurzem festgestellten Apache-Probleme. Eine Variable ist fälschlicherweise als vorzeichenbehaftet deklariert, wodurch diese negative Werte annimmt, wenn sie ihren positiven Wertebereich überschreitet. Diese besagte Variable wird in der Schleife, die über die Optionen der TCP-Pakete iteriert, zur Erhöhung des Zählers verwendet, indem sie auf diesen addiert wird. Nimmt sie negative Werte an, zählt der Zähler der Schleife rückwärts (Subtraktion), wodurch diese endlos läuft, da die hierzu notwendige Bedingung nicht erfüllt wird. Dies ist nicht so harmlos, als wenn ein Programm in eine Endlosschleife gerät, da eine Endlosschleife im Kernel das System unbenutzbar macht.

Das Problem scheint zunächst alle Kernel der Serie 2.6 zu betreffen. Entdeckt wurde das Problem zwar auf der i386-Architektur, mangels Tests anderer Architekturen können sich Anwender jedoch nicht in Sicherheit wiegen. Ein geeignetes Beispielpaket, welches erfolgreich zum Absturz führt, ist bekannt. Dieses »Packet of Death« kann ein Angreifer von jedem beliebigen System aus an das Opfer senden.

Das Problem lässt sich einfach beheben, indem man verhindert, dass die Differenz der Zähler zweier Iterationsdurchgänge einen negativen Wert annimmt, indem man die entsprechende Variable als vorzeichenlos deklariert. Eine bekannte Fehlerbehebung ist also vorhanden und auch bereits in einen korrigierten Fedora-Kernel eingeflossen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung