Login
Newsletter
Werbung

Mi, 19. Juni 2019, 12:49

Software::Kernel

Sicherheitslücken im TCP-Code im Kernel

Ein Team bei Netflix hat drei Sicherheitslücken im TCP-Code im Kernel entdeckt. Durch speziell präparierte SACK-Pakete lässt sich im schlimmsten Fall ein Kernel-Stillstand erzielen. Alle Linux- und FreeBSD-Anwender sollten ihren Kernel aktualisieren oder temporäre Gegenmaßnahmen ergreifen.

Larry Ewing

Wie Netflix bekannt gab, haben Mitarbeiter des Unternehmens drei sicherheitsrelevante Probleme im Linux-Kernel sowie ein ähnliches in FreeBSD 12 entdeckt. Sie entstammen alle demselben Bereich im Kernel-Code, nämlich dem Code, der TCP SACK-Pakete verarbeitet. Sie hängen miteinander zusammen und haben die CVE-Nummern CVE-2019-11477, CVE-2019-114778 und CVE-2019-11479 erhalten. Erstere Lücke kann eine Kernel-Panik verursachen und das System somit zur Ausgabe einer Meldung und zum Anhalten bringen. Diese Lücke wird von Red Hat als nicht kritisch, aber wichtig eingestuft, die anderen beiden Lücken als moderat.

TCP Selective Acknowledgment (SACK) ist ein Mechanismus, um TCP-Übertragungen zu beschleunigen. Er tritt aber nur in Aktion, wenn Pakete verlorengegangen sind und wiederholt werden müssen. Doch wie alle Netzwerkpakete können auch SACK-Pakete von Angreifern gesendet werden, um Rechner anzugreifen. Gegen solche manipulierten Pakete ist der Kernel mangelhaft gewappnet. Unter Umständen können Angreifer so den Speicherbedarf des Kernels in die Höhe treiben (CVE-2019-11479), die CPU durch Suchvorgänge in langen Listen stark auslasten (CVE-2019-11478 oder eine Kernel-Panik auslösen (CVE-2019-11477). Letztere Lücke ist die schwerwiegendste und betrifft alle Linux-Kernel, da sie offenbar schon sehr lange besteht. CVE-2019-11478 betrifft Linux vor Version 4.15, die ähnliche Lücke CVE-2019-5599 FreeBSD 12. Auch CVE-2019-11479 betrifft alle Linux-Versionen.

Die durch CVE-2019-11477 mögliche Kernel-Panik kommt durch einen »vergessenen« BUG_ON-Aufruf zustande. Die Kernel-Entwickler haben diese Aufrufe so weit wie möglich aus dem Kernel verbannt, da Fehlerbedingungen nur selten so schwerwiegend sind, dass der Kernel nicht weiterlaufen kann. Auch bei TCP SACK ist bei korrekter Fehlerbehandlung dieser Aufruf vollkommen unnötig - dies wurde allerdings bisher übersehen.

Zahlreiche Distributionen haben bereits Kernel-Aktualisierungen veröffentlicht. Auch die unterstützten Kernel-Versionen auf kernel.org wurden aktualisiert. Wer noch nicht aktualisieren kann, sollte sein System aber zumindest mit einem von zwei möglichen temporären Maßnahmen absichern. Die erste ist, die Behandlung von TCP SACK komplett abzuschalten. Dies könnte ein klein wenig Leistung kosten, was aber nur Verbindungen mit Paketverlusten betrifft. Die zweite Maßnahme besteht aus zusätzlichen Paketfiltern mit iptables. Sie ist aufwendiger und kann in Einzelfällen zum Ausfiltern von legitimen Paketen führen. Einzelheiten zu beiden Maßnahmen findet man unter anderem in den Veröffentlichungen von Netflix und Red Hat.

Werbung
Kommentare (Insgesamt: 25 || Alle anzeigen )
Re[7]: Nicht kritisch??? (Verfluchtnochmal-05995bd7b, Sa, 22. Juni 2019)
Re[3]: Router (Verfluchtnochmal-05995bd7b, Sa, 22. Juni 2019)
Re[6]: Nicht kritisch??? (Falk, Sa, 22. Juni 2019)
Re[5]: Nicht kritisch??? (blablabla233, Sa, 22. Juni 2019)
Re[5]: Nicht kritisch??? (blablabla233, Sa, 22. Juni 2019)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung