Buffer Overflow im netfilter-Modul von Linux [Update]

Im kürzlich veröffentlichten Linux-Kernel 2.6.16 wurde eine Lücke in netfilter beseitigt, mit der Angreifer beliebigen Code in den Kernel-Speicher schleusen können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 266 Beiträge
Von
  • Daniel Bachfeld

Wie sich erst jetzt herausstellt, wurde im kürzlich veröffentlichten Linux-Kernel 2.6.16 eine kritische Lücke in netfilter beseitigt, mit der Angreifer über das Netzwerk beliebigen Code in den Kernelspeicher schleusen können. netfilter ist ein Paketfilter-Framework, das in der Regel zusammen mit iptables zum Einsatz kommt. Ob sich der eingeschleuste Code auch ausführen lässt, ist noch unklar. Sollte dies der Fall sein, so liefe der Code mit Kernelrechten.

Die von SolarDesigner gefundene Lücke beruht auf einem Fehler in der netfilter-Funktion do_replace(), sodass beim Kopieren von Daten mittels copy_from_user() ein Buffer Overflow auftreten kann. Laut Changelog zur Version 2.6.16 ist unter Umständen sehr viel physikalischer Speicher erforderlich, da der Buffer Overflow nur bei bestimmten Operationen auftritt.

Betroffen sind laut Changelog alle Kernelversionen der 2.6-Serie vor 2.6.16, nicht aber der Kernel 2.4.x. Anwender sollten die sicherlich demnächst erscheinenden fehlerbereinigten Pakete der Distributoren installieren oder den neuen Kernel selbst übersetzen.

Update
Offenbar ist die netfilter-Lücke weitaus weniger kritisch als zunächst angenommen. So soll sich die Lücke nur lokal ausnutzen lassen. Laut Harald Welte vom Netfilter Core Team sind zudem Root-Rechte erforderlich, um den Buffer Overflow zu provozieren. In diesem Zusammenhang wird auch bereits Kritik an der Informationspolitik der Kernel-Entwickler laut, dass ihre Fehlerbeschreibungen in den Changelogs zu viel Spielraum für Interpretationen zulassen. So meldeten auch Securityfocus und CERT-Bund zunächst, dass die Lücke über das Netzwerk das Einschleusen und Ausführen von Code ermögliche.

Siehe dazu auch: (dab)