TCP-Sicherheitslücke: Linux-Rechner übers Internet abschießen

Im Linux-Kernel und in FreeBSD sind mehrere Fehler bei der Verarbeitung von TCP-Paketen gefunden worden. Eine Sicherheitslücke in der Funktion Selective Acknowledgement (SACK) kann von Angreifern dazu genutzt werden, bei Linux einen Kernelabsturz zu verursachen.

Artikel veröffentlicht am ,
Ein Fehler bei der Verarbeitung von TCP-Paketen kann den Linux-Kernel zum Absturz bringen.
Ein Fehler bei der Verarbeitung von TCP-Paketen kann den Linux-Kernel zum Absturz bringen. (Bild: Larry Ewing/Collage: Golem.de)

Entwickler von Netflix haben mehrere Fehler im Linux-Kernel und in FreeBSD gefunden, mit denen man ein System durch das Senden spezieller Netzwerkpakete zum Absturz bringen oder stark verlangsamen kann. Die Probleme befinden sich in der TCP-Funktion Selective Acknowledgement (SACK).

Stellenmarkt
  1. IT Customer Support / Help-Desk Agent (m/w/d) im Frontline-Support
    Compusoft Deutschland AG, Dresden, Schmallenberg
  2. Spezialist (w/m/d) Conversational AI
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Die SACK-Funktion verbessert die Performance von TCP-Netzwerkverbindungen bei Paketverlusten. Wenn ein TCP-Paket fragmentiert wird und dabei nur ein Teil der Segmente beim Empfänger ankommt, kann dieser vom Sender eine Neuübertragung einzelner Segmente anfordern. Damit kann vermieden werden, das gesamte TCP-Paket neu anzufordern.

Zu viele Segmente führen zu Kernelabsturz

Die kritischste der gefundenen Lücken ermöglicht es, den Linux-Kernel übers Netz lahmzulegen. Im Linux-Kernel werden Segmente vor dem Versenden in einem speziellen Puffer vorgehalten, der hat aber nur Platz für 17 Pakete. Das reicht in aller Regel aus, allerdings lässt sich mit Hilfe von SACK-Paketen eine Situation konstruieren, in der dieser Puffer voll ist.

Das löst im Kernel die Funktion BUG_ON aus, die aufgerufen wird, wenn eine eigentlich nicht vorgesehene Situation auftritt. Die Folge: Der Kernel stürzt ab. Mehr kann ein Angreifer allerdings auch nicht machen. Die Funktion führt einen sicheren Absturz aus, es wird kein Speicher überschrieben und es treten keine undefinierten Zustände auf. Solche Lücken, mit denen sich ein System übers Netz zum Absturz bringen lässt, werden manchmal auch als Ping of Death bezeichnet.

FreeBSD-Lücke weniger schlimm

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    02./03.06.2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Die weiteren von Netflix gefundenen Lücken, von denen eine auch FreeBSD betrifft, führen nicht zu Abstürzen, sie können aber ein System stark verlangsamen. Sie sind daher deutlich weniger kritisch.

Es gibt bislang keinen öffentlich verfügbaren Exploit, mit dem sich die Lücken ausnutzen lassen. Man sollte allerdings davon ausgehen, dass bald entsprechende Exploits auftauchen und dann auch genutzt werden.

Linux-Nutzer sollten schnellstmöglich ihre Kernel-Pakete aktualisieren und ihre Systeme neu starten. Als temporäre Lösung kann man SACK auch über das Proc-Interface deaktivieren, /proc/sys/net/ipv4/tcp_sack muss dafür auf 0 gesetzt werden. Natürlich führt das dazu, dass Verbindungen bei Paketverlusten verlangsamt werden. Alternativ ist es auch möglich, die Angriffe zu filtern, entsprechende Filterregeln hat Netflix bereitgestellt.

Die aktuelle stabile Version des Linux-Kernels 5.1.11 enthält die Korrekturen für die gefundenen Fehler bereits. Auch für zahlreiche ältere Kernel-Versionszweige sind korrigierte Versionen veröffentlicht worden. Von den gängigen Linux-Distributionen stehen ebenfalls Updates bereit. Red Hat hat weitere Details zu den Sicherheitslücken in einem Blogpost erläutert.

Für FreeBSD steht bislang kein Update bereit. Allerdings ist die Lücke dort auch deutlich weniger kritisch, da kein Absturz auftreten kann.

Problematisch könnte die Lücke für Android-Telefone und für zahlreiche IoT-Geräte werden. Denn hier ist es oft so, dass vom Hersteller keine Aktualisierungen bereitgestellt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mapet 20. Jun 2019

Gerüchteweise gibt es auch WiFi Netze mit öffentlichen IPs, sogar von Providern im...

brainslayer 19. Jun 2019

wäre ich mir nich so sicher. microsoft hat sich den netzwerkstack von bsd abgekuckt :-)

brainslayer 19. Jun 2019

und was soll das bringen? netfilter kommt hier leider nicht als erstes in der...

brainslayer 19. Jun 2019

ja avm setzt auf linux und verstößt auch weiterhin gegen die gpl



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /