Abo
  • Services:

DoS-Angriffe: Hash-Kollisionen können Webserver lahmlegen

Durch Hash-Kollisionen können Webserver lahmgelegt werden. Betroffen sind fast alle Webserver etwa mit PHP, ASP.Net und Java. Die Kollisionen können durch POST-Abfragen ausgelöst werden.

Artikel veröffentlicht am ,
Julian Wälde und Alexander Klink haben eine Schwachstelle in der Verarbeitung von Hash-Tabellen in Webservern entdeckt.
Julian Wälde und Alexander Klink haben eine Schwachstelle in der Verarbeitung von Hash-Tabellen in Webservern entdeckt. (Bild: CCC)

Die beiden Entwickler Alexander Klink und Julian Wälde haben eine Schwachstelle beschrieben, die in fast allen Webservern ausgenutzt werden kann: Durch das Auslösen von Hash-Kollisionen kann die CPU-Last von Webservern über lange Zeit auf bis zu 99 Prozent erhöht werden. Betroffen sind mehr oder weniger alle modernen Webserver, denn der softwareseitige Fehler ist in den meisten populären Skriptsprachen enthalten, darunter PHP, ASP.Net und Java oder das Javascript-basierte v8 von Google.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Klink und Wälde haben sich inzwischen an die einzelnen Entwickler gewandt. Einige haben bereits Patches für die Schwachstelle bereitgestellt. Angriffe über die Schwachstelle sind noch nicht beobachtet worden. Allerdings kann sie leicht ausgenutzt werden. Durch einen entsprechenden POST-Befehl können Hashtable-Abfragen mit bewusst ausgelösten Kollisionen erfolgen.

CPU auslasten durch Kollisionen

PHP 5 verwendet beispielsweise die Hash-Funktion DJBX33A von Dan Bernstein, um POST-Daten zu verarbeiten. Diese Funktion kann so manipuliert werden, dass sie mehrfache Kollisionen auslöst. Die Abfragegröße über POST ist auf 8 MByte begrenzt und beschäftigt damit eine iCore-7-CPU für etwa vier Stunden. Allerdings ist die Abfrage durch max_input_time begrenzt, unter Ubuntu und BSD Server standardmäßig auf 60 Sekunden. Die 60 Sekunden reichen aus, um etwa 500 KByte an Daten zu übertragen. Die CPU-Last wird ebenfalls mit max_execution_time auf 30 Sekunden begrenzt. Um eine CPU für 30 Sekunden auszulasten, werden 300 KByte an Daten benötigt. Theoretisch benötigt ein Angreifer etwa 70 bis 100 KBit/s für eine komplette Auslastung einer CPU. Mit einer GBit-Verbindung können demnach 10.000 Core-i7-CPUs beschäftigt werden.

ASP.Net nutzt die Hash-Funktion DJBX33X, die ebenfalls von Dan Bernstein stammt. Hier ist die CPU-Zeit normalerweise auf 90 Sekunden begrenzt. Mit einer GBit-Verbindung können hier 30.000 Core-Duo-CPUs beschäftigt werden. Auch verschiedene Java-basierte Webserver sind betroffen, darunter Tomcat, Glassfish oder Jetty, wobei die Größenbegrenzung der POST-Abfrage variiert. Durchschnittlich beträgt sie 2 MByte.

Die Lösung: Hash-Funktion randomisieren

Die beiden Entwickler raten, die Hash-Funktion zu randomisieren. Als Workaround empfehlen sie, die POST-Abfragen zu reduzieren und die CPU-Limits zu senken.

Zahlreiche Hersteller haben bereits reagiert. Für ASP.net bietet Microsoft einen Patch an. Auch die PHP-Entwickler haben den Patch max_input_vars in Version 5.4.0 RC4 eingebaut. Für Tomcat gibt es ebenfalls einen Workaround, für Glassfish steht er noch aus. Für Python wurde ebenfalls noch kein Patch bereitgestellt, was vor allem für den Webserver Plone von Bedeutung ist. Ruby erhielt ebenfalls einen entsprechenden Patch. Perl-Entwickler haben das Problem bereits 2003 erkannt.

Nachtrag vom 29. Dezember 2011, 8:31 Uhr

Microsoft hat einen Patch für ASP.Net zusätzlich zu seinen monatlichen Patchdays angekündigt. Dieser soll im Laufe des 29. Dezember 2011 erscheinen. Nutzer von PHP können ihre Systeme mit Suhosin absichern, das die Einstellung des Parameters suhosin.{post|request}.max_vars enthält.

Ganz allgemein lässt sich das Problem durch Begrenzung der CPU-Zeit reduzieren, was unter PHP mit der Option "max_input_time" und im IIS für ASP.Net über den Parameter "shutdown time limit for processes" möglich ist. Wer nicht drauf angewiesen ist, große Datenmengen hochzuladen, kann zudem die maximale Größe von POST-Request auf wenige KByte beschränken.



Anzeige
Top-Angebote
  1. 127,90€ (effektiver Preis für SSD 107,90€)
  2. (u. a. Battlefield 5, FIFA 19, Battlefront 2, NHL 19)
  3. (u. a. FIFA 19, New Super Mario Bros. U Deluxe, Donkey Kong Contry)
  4. (aktuell u. a. Ryzen 7 2700X 299€, Playstation-Store-Guthaben für 18,40€ statt 20€ oder...

omo 01. Jan 2012

gibts ja schon längst. Obwohl mans intern eh nicht bräuchte.

Anonymer Nutzer 01. Jan 2012

Apple braucht teilweise Jahre um Sicherheitslücken zu beseitigen. Aber das verschweigt...

HerrJaeger 31. Dez 2011

Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und...

Anonymer Nutzer 30. Dez 2011

ja, das haben die heimlich ausgebessert

Vion 29. Dez 2011

Hash-Kollesionen zu testen wird vielleicht etwas schwierig sein. Das ist zum einen von...


Folgen Sie uns
       


Bose Sleepbuds - Test

Stille Nacht? Die Bose Sleepbuds begegnen nächtlichen Störgeräuschen mit einem Klangteppich, wir haben sie ausprobiert.

Bose Sleepbuds - Test Video aufrufen
CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  2. Mobilität Das Auto der Zukunft ist modular und wandelbar
  3. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

Marvel im Auto: Nie wieder eine Fahrt mit quengelnden Kindern
Marvel im Auto
Nie wieder eine Fahrt mit quengelnden Kindern

CES 2019 Audi und Holoride arbeiten an einer offenen Plattform für VR-Spiele im Auto. Marvel steuert beliebte Charaktere für Spiele bei. Golem.de hat in Las Vegas eine Testrunde durch den Weltraum gedreht.
Ein Erfahrungsbericht von Dirk Kunde


      •  /