Login
Newsletter
Werbung

Fr, 18. März 2005, 23:00

Software::Distributionen

Bringt Fork Bombing immer noch aktuelle Linux Distributionen aus dem Tritt?

Jason Miller, Organisator des Security Focus Forum, hat in einem Artikel ungläubig feststellen müssen, dass auch aktuelle Linux-Distributionen immer noch mit der alten Angriffsmethode des Fork Bombings in die Knie gezwungen werden können.
Von ThomasS

Miller wurde durch einen Kollegen auf einen Thread der Security Mailingliste aufmerksam, in dem ein Cracker gegenüber einem Systemadministrator behauptete, dass er einen Server mit der Methode des Fork Bombings zu Fall bringen könnte. Der Systemadministrator reagierte ungläubig auf diese Ankündigung, ebenso wie Jason Miller selbst.

Bei Fork Bombing handelt es sich um das unglückliche Aufeinandertreffen zweier voneinander unabhängiger Bedingungen. Dazu gehören ein Shellscript, das eine »unvernünftige« Zahl von Prozessen generiert. Dies hat soweit mit dem Kernel gar nichts zu tun.

Wenn der Kernel jedoch gleichzeitig die Entstehung vieler Prozesse über sein Limit hinaus erlaubt, dann kombinieren sich die beiden Bedingungen zu einer kritischen Situation. Ein ähnlicher Wirkungsmechanismus ist auch von Denial of Service-Attacken bekannt, bei denen ein Server mit weitaus mehr Anfragen zu einem Zeitpunkt konfrontiert, regelrecht bombardiert wird als tatsächlich bearbeitet werden können und so abstürzt.

Nachdem Miller, selbst bekennender BSD-Benutzer, zunächst ungläubig den Kopf schüttelte und lächelte, besann er sich darauf, selbst die Probe aufs Exempel zu machen. So schrieb er selbst ein Shellscript-Exploit für seine Mandrakelinux Maschine und führte den Code als nicht-privilegierter Normalbenutzter aus. Innerhalb von Sekunden war die Maschine abgestürzt und ließ einen verwunderten Miller zurück. Mit angehaltenem Atem wiederholte er die selbe Prozedur auf seinem NetBSD-Laptop, dort zeigte das Script keine Wirkung.

Da ihm die Sache nun keine Ruhe mehr ließ, wandte er sich an Freunde und Bekannte mit verschiedenen Linux Distributionen. Weitere Tests folgten als normaler Benutzer mit allen verfügbaren UNIX Maschinen, auf einem FreeBSD-Server und einer OpenBSD-Gateway Maschine zeigte der Exploit ebenfalls keine Wirkung.

Demgegenüber zeigte das Script auch bei Red Hat und Gentoo Wirkung. Der gleiche Versuch auf einer Debian-Maschine zeigte hingegen keine Wirkung, eine wirkliche gute Entwicklungsarbeit der Freiwilligen Distribution, meint Miller.

In seiner Analyse kommt Miller zu dem Schluß, dass der demonstrierte Exploit kein kernelspezifisches Problem sei. Es sei vielmehr ein Linux-Problem.

Letztlich, so Miller weiter, sei der Kernel ein wichtiger Bestandteil von Sicherheit. Daß ein unprivilegierter Benutzer mit diesem Exploit viele Distributionen immer noch zu Fall bringen kann, ist ihm unverständlich. In diesem Zusammenhang fragt sich der Autor, warum z.B. GRSecurity und PaX, anders als in den BSDs, bisher keinen dauerhaften Eingang in den Basiskernel von Linux gefunden haben.

Ein Blick auf aktuelle Exploitmeldungen für den Linux-Kernel zeigt, dass es für den Zeitraum von etwas weniger als drei Monaten 21 Sicherheitsmeldungen gegeben hat. Das ist für Miller doch etwas "exzessiv" und er vermutet, dass die Entwickler den Kampf gegen Sicherheitslöcher zu schnell verloren gäben.

In seinem Fazit macht Miller allerdings klar, dass er als Systemadministrator einer kritischen Server-Struktur bei der Entscheidung, ob Windows oder Linux, keine Sekunde bräuchte, um sich für Linux zu entscheiden.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung