Datum: 15.05.2003
Ueberschrift:
Linux Kernel - Denial of Service durch Route-Cache-Flutung
Onlineversion:
http://www.tecchannel.de/sicherheit/reports/40.htmlWarnstufe:
Kritisch
Auswirkungen:
Denial of Service
Angriffsweg(e):
von extern
Betriebssystem(e):
Conectiva Linux 7.0
Conectiva Linux 8
Conectiva Linux 9
Debian GNU/Linux 3.0
Debian GNU/Linux unstable alias sid
Gentoo Linux 1.x
Mandrake Linux 8.x
Mandrake Linux 9.x
RedHat Linux 7.1
RedHat Linux 7.2
RedHat Linux 7.3
RedHat Linux 8.0
RedHat Linux 9
SCO OpenLinux Server 3.x
SCO OpenLinux Workstation 3.x
SuSE Linux 7.x
SuSE Linux 8.x
EnGarde Secure Linux 1.x
Linux Kernel 2.4.x
RedHat Enterprise Linux AS
RedHat Enterprise Linux ES
RedHat Enterprise Linux WS
RedHat Linux Advanced Server 2.1 for Itanium
RedHat Linux Advanced Workstation 2.1 for Itanium
Slackware Linux 8.x
Slackware Linux 9.0
SuSE Linux Connectivity Server
SuSE Linux Database Server
SuSE Linux Enterprise Server 7
SuSE Linux Enterprise Server 8
SuSE Linux Firewall on CD/Admin host
SuSE Linux Office Server
Beschreibung:
Der Linux-Kernel weist in den 2.4er-Versionen eine Sicherheitsluecke auf, die ein externer Angreifer zu Denial-of-Service-Attacken ausnutzen kann.
Ursache ist die Art und Weise, in der der Linux-Kernel Routing-Informationen verarbeitet. Flutet der Angreifer das Linux-Systems mit Paketen, die gefaelschte Quelladressen enthalten, so steigt durch das Cache-Handling die CPU-Last massiv an. Durch sorgfaeltiges Aussuchen der gefaelschten Adressen kann der Angreifer Hash-Kollisionen beim Auswerten der Routing-Tabelle provozieren und mit nur 400 Paketen pro Sekunde das Linux-System lahm legen. Grundsaetzlich funktioniert der Angriff aber auch mit zufaellig generierten Quelladressen, der Angreifer muss dann nur mehr Pakete senden.
Vor dieser Denial-of-Service-Attacke sind auch solche Systeme nicht sicherm die den Datenverkehr ueber iptables (netfilter) filtern.
Loesung:
Bislang liegt weder ein offizieller Patch noch eine Aktualisierung fuer den Linux-Kernel vor.
Als vorlaeufiger Work-around laesst sich der Datenverkehr ueber die PREROUTING-Chain statt ueber die INPUT-Chain von iptables filtern. Das PREROUTING erfolgt vor dem Route-Cache, zudem muessen die Filterregeln nur geringfuegig veraendert werden.
RedHat hat bereits aktualisierte Kernel-Pakete fuer seine Distribution herausgegeben. Sie beheben zusaetzlich einige Sie beheben zusaetzlich einige nicht sicherheitsrelevante Probleme. Naeheres entnehmen Sie bitte dem zugehoerigen RedHat-Advisory.
Anmeldung