Abo
  • Services:

DoS-Angriffe: Hash-Kollisionen können Webserver lahmlegen

Durch Hash-Kollisionen können Webserver lahmgelegt werden. Betroffen sind fast alle Webserver etwa mit PHP, ASP.Net und Java. Die Kollisionen können durch POST-Abfragen ausgelöst werden.

Artikel veröffentlicht am ,
Julian Wälde und Alexander Klink haben eine Schwachstelle in der Verarbeitung von Hash-Tabellen in Webservern entdeckt.
Julian Wälde und Alexander Klink haben eine Schwachstelle in der Verarbeitung von Hash-Tabellen in Webservern entdeckt. (Bild: CCC)

Die beiden Entwickler Alexander Klink und Julian Wälde haben eine Schwachstelle beschrieben, die in fast allen Webservern ausgenutzt werden kann: Durch das Auslösen von Hash-Kollisionen kann die CPU-Last von Webservern über lange Zeit auf bis zu 99 Prozent erhöht werden. Betroffen sind mehr oder weniger alle modernen Webserver, denn der softwareseitige Fehler ist in den meisten populären Skriptsprachen enthalten, darunter PHP, ASP.Net und Java oder das Javascript-basierte v8 von Google.

Stellenmarkt
  1. Deloitte, Düsseldorf, Leipzig, München
  2. Bechtle Onsite Services GmbH, Weissach

Klink und Wälde haben sich inzwischen an die einzelnen Entwickler gewandt. Einige haben bereits Patches für die Schwachstelle bereitgestellt. Angriffe über die Schwachstelle sind noch nicht beobachtet worden. Allerdings kann sie leicht ausgenutzt werden. Durch einen entsprechenden POST-Befehl können Hashtable-Abfragen mit bewusst ausgelösten Kollisionen erfolgen.

CPU auslasten durch Kollisionen

PHP 5 verwendet beispielsweise die Hash-Funktion DJBX33A von Dan Bernstein, um POST-Daten zu verarbeiten. Diese Funktion kann so manipuliert werden, dass sie mehrfache Kollisionen auslöst. Die Abfragegröße über POST ist auf 8 MByte begrenzt und beschäftigt damit eine iCore-7-CPU für etwa vier Stunden. Allerdings ist die Abfrage durch max_input_time begrenzt, unter Ubuntu und BSD Server standardmäßig auf 60 Sekunden. Die 60 Sekunden reichen aus, um etwa 500 KByte an Daten zu übertragen. Die CPU-Last wird ebenfalls mit max_execution_time auf 30 Sekunden begrenzt. Um eine CPU für 30 Sekunden auszulasten, werden 300 KByte an Daten benötigt. Theoretisch benötigt ein Angreifer etwa 70 bis 100 KBit/s für eine komplette Auslastung einer CPU. Mit einer GBit-Verbindung können demnach 10.000 Core-i7-CPUs beschäftigt werden.

ASP.Net nutzt die Hash-Funktion DJBX33X, die ebenfalls von Dan Bernstein stammt. Hier ist die CPU-Zeit normalerweise auf 90 Sekunden begrenzt. Mit einer GBit-Verbindung können hier 30.000 Core-Duo-CPUs beschäftigt werden. Auch verschiedene Java-basierte Webserver sind betroffen, darunter Tomcat, Glassfish oder Jetty, wobei die Größenbegrenzung der POST-Abfrage variiert. Durchschnittlich beträgt sie 2 MByte.

Die Lösung: Hash-Funktion randomisieren

Die beiden Entwickler raten, die Hash-Funktion zu randomisieren. Als Workaround empfehlen sie, die POST-Abfragen zu reduzieren und die CPU-Limits zu senken.

Zahlreiche Hersteller haben bereits reagiert. Für ASP.net bietet Microsoft einen Patch an. Auch die PHP-Entwickler haben den Patch max_input_vars in Version 5.4.0 RC4 eingebaut. Für Tomcat gibt es ebenfalls einen Workaround, für Glassfish steht er noch aus. Für Python wurde ebenfalls noch kein Patch bereitgestellt, was vor allem für den Webserver Plone von Bedeutung ist. Ruby erhielt ebenfalls einen entsprechenden Patch. Perl-Entwickler haben das Problem bereits 2003 erkannt.

Nachtrag vom 29. Dezember 2011, 8:31 Uhr

Microsoft hat einen Patch für ASP.Net zusätzlich zu seinen monatlichen Patchdays angekündigt. Dieser soll im Laufe des 29. Dezember 2011 erscheinen. Nutzer von PHP können ihre Systeme mit Suhosin absichern, das die Einstellung des Parameters suhosin.{post|request}.max_vars enthält.

Ganz allgemein lässt sich das Problem durch Begrenzung der CPU-Zeit reduzieren, was unter PHP mit der Option "max_input_time" und im IIS für ASP.Net über den Parameter "shutdown time limit for processes" möglich ist. Wer nicht drauf angewiesen ist, große Datenmengen hochzuladen, kann zudem die maximale Größe von POST-Request auf wenige KByte beschränken.



Anzeige
Spiele-Angebote
  1. 14,99€
  2. 54,98€ mit Vorbesteller-Preisgarantie
  3. ab 69,98€ mit Vorbesteller-Preisgarantie (Release 26.08.)
  4. (-80%) 1,99€

omo 01. Jan 2012

gibts ja schon längst. Obwohl mans intern eh nicht bräuchte.

HerrMannelig 01. Jan 2012

Apple braucht teilweise Jahre um Sicherheitslücken zu beseitigen. Aber das verschweigt...

HerrJaeger 31. Dez 2011

Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und...

HerrMannelig 30. Dez 2011

ja, das haben die heimlich ausgebessert

Vion 29. Dez 2011

Hash-Kollesionen zu testen wird vielleicht etwas schwierig sein. Das ist zum einen von...


Folgen Sie uns
       


WoW Battle for Azeroth - Ausbruch und Addon (Golem.de Live)

Nach dem Mitternachtsstream beginnt in Battle for Azeroth für uns der Alltag im Addon in Kul Tiras. Dank des Chats gibt es spannende Ablenkungen.

WoW Battle for Azeroth - Ausbruch und Addon (Golem.de Live) Video aufrufen
Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Navya Mainz testet autonomen Bus am Rheinufer
  2. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren
  3. Autonomes Fahren Ubers Autos sind wieder im Einsatz - aber nicht autonom

    •  /