Abo
  • IT-Karriere:

TCP-Sicherheitslücke: Linux-Rechner übers Internet abschießen

Im Linux-Kernel und in FreeBSD sind mehrere Fehler bei der Verarbeitung von TCP-Paketen gefunden worden. Eine Sicherheitslücke in der Funktion Selective Acknowledgement (SACK) kann von Angreifern dazu genutzt werden, bei Linux einen Kernelabsturz zu verursachen.

Artikel veröffentlicht am ,
Ein Fehler bei der Verarbeitung von TCP-Paketen kann den Linux-Kernel zum Absturz bringen.
Ein Fehler bei der Verarbeitung von TCP-Paketen kann den Linux-Kernel zum Absturz bringen. (Bild: Larry Ewing/Collage: Golem.de)

Entwickler von Netflix haben mehrere Fehler im Linux-Kernel und in FreeBSD gefunden, mit denen man ein System durch das Senden spezieller Netzwerkpakete zum Absturz bringen oder stark verlangsamen kann. Die Probleme befinden sich in der TCP-Funktion Selective Acknowledgement (SACK).

Stellenmarkt
  1. Medion AG, Essen
  2. NÜRNBERGER Versicherung, Nürnberg

Die SACK-Funktion verbessert die Performance von TCP-Netzwerkverbindungen bei Paketverlusten. Wenn ein TCP-Paket fragmentiert wird und dabei nur ein Teil der Segmente beim Empfänger ankommt, kann dieser vom Sender eine Neuübertragung einzelner Segmente anfordern. Damit kann vermieden werden, das gesamte TCP-Paket neu anzufordern.

Zu viele Segmente führen zu Kernelabsturz

Die kritischste der gefundenen Lücken ermöglicht es, den Linux-Kernel übers Netz lahmzulegen. Im Linux-Kernel werden Segmente vor dem Versenden in einem speziellen Puffer vorgehalten, der hat aber nur Platz für 17 Pakete. Das reicht in aller Regel aus, allerdings lässt sich mit Hilfe von SACK-Paketen eine Situation konstruieren, in der dieser Puffer voll ist.

Das löst im Kernel die Funktion BUG_ON aus, die aufgerufen wird, wenn eine eigentlich nicht vorgesehene Situation auftritt. Die Folge: Der Kernel stürzt ab. Mehr kann ein Angreifer allerdings auch nicht machen. Die Funktion führt einen sicheren Absturz aus, es wird kein Speicher überschrieben und es treten keine undefinierten Zustände auf. Solche Lücken, mit denen sich ein System übers Netz zum Absturz bringen lässt, werden manchmal auch als Ping of Death bezeichnet.

FreeBSD-Lücke weniger schlimm

Die weiteren von Netflix gefundenen Lücken, von denen eine auch FreeBSD betrifft, führen nicht zu Abstürzen, sie können aber ein System stark verlangsamen. Sie sind daher deutlich weniger kritisch.

Es gibt bislang keinen öffentlich verfügbaren Exploit, mit dem sich die Lücken ausnutzen lassen. Man sollte allerdings davon ausgehen, dass bald entsprechende Exploits auftauchen und dann auch genutzt werden.

Linux-Nutzer sollten schnellstmöglich ihre Kernel-Pakete aktualisieren und ihre Systeme neu starten. Als temporäre Lösung kann man SACK auch über das Proc-Interface deaktivieren, /proc/sys/net/ipv4/tcp_sack muss dafür auf 0 gesetzt werden. Natürlich führt das dazu, dass Verbindungen bei Paketverlusten verlangsamt werden. Alternativ ist es auch möglich, die Angriffe zu filtern, entsprechende Filterregeln hat Netflix bereitgestellt.

Die aktuelle stabile Version des Linux-Kernels 5.1.11 enthält die Korrekturen für die gefundenen Fehler bereits. Auch für zahlreiche ältere Kernel-Versionszweige sind korrigierte Versionen veröffentlicht worden. Von den gängigen Linux-Distributionen stehen ebenfalls Updates bereit. Red Hat hat weitere Details zu den Sicherheitslücken in einem Blogpost erläutert.

Für FreeBSD steht bislang kein Update bereit. Allerdings ist die Lücke dort auch deutlich weniger kritisch, da kein Absturz auftreten kann.

Problematisch könnte die Lücke für Android-Telefone und für zahlreiche IoT-Geräte werden. Denn hier ist es oft so, dass vom Hersteller keine Aktualisierungen bereitgestellt werden.



Anzeige
Hardware-Angebote
  1. 279,90€
  2. 64,90€ (Bestpreis!)

mapet 20. Jun 2019

Gerüchteweise gibt es auch WiFi Netze mit öffentlichen IPs, sogar von Providern im...

brainslayer 19. Jun 2019

wäre ich mir nich so sicher. microsoft hat sich den netzwerkstack von bsd abgekuckt :-)

brainslayer 19. Jun 2019

und was soll das bringen? netfilter kommt hier leider nicht als erstes in der...

brainslayer 19. Jun 2019

ja avm setzt auf linux und verstößt auch weiterhin gegen die gpl


Folgen Sie uns
       


Sega Dreamcast (1999) - Golem retro

Am 9.9.1999 startete Segas letzte Konsole in ein kurzes, aber erfülltes Spieleleben.

Sega Dreamcast (1999) - Golem retro Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

    •  /