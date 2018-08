Angriffe mit speziell präparierten TCP-Paketen können Linux lahmlegen. Nach und nach werden nun Kernel-Patches für verschiedene Distributionen veröffentlicht.

Im Linux-Kernel steckt eine Schwachstelle, die ein Angreifer für Denial-of-Service-Angriffe aus der Ferne missbrauchen könnte. Davor warnt unter anderem das CERT Coordination Center (CERT/CC), das die Schwachstelle in einem Sicherheitshinweis beschreibt und mit einem CVSS-Base-Score von 7.1 ("High" ) bewertet.

Voraussetzung für einen Angriff ist demnach ein offener Port, über den ein Angreifer TCP-Pakete an das verwundbare System schickt. Indem er diese auf bestimmte Weise präpariert, zwingt er den Kernel zu rechenintensiven Aufrufen zweier Funktionen (tcp_collapse_ofo_queue() und tcp_prune_ofo_queue()),was letztlich zu einem Denial-of-Service-Zustand führt. Um diesen beizubehalten, müsste die Session allerdings dauerhaft aufrechterhalten werden. Außerdem muss der Datenaustausch in beide Richtungen funktionieren, woraus folgt, dass der Angriff nicht mit gefälschten Absender-IPs (IP-Spoofing) funktioniert.

Laut CERT/CC ist die Kernel-Version 4.9 und höher von der Schwachstelle betroffen. Akamai schreibt in einem Blogeintrag allerdings, dass sie auch in ältere Versionen vorhanden sei. Um sie dort in gleicher Weise auszunutzen, sei allerdings ein weit höheres Traffic-Aufkommen erforderlich.

Der Schwachstellen-Datenbank VulDB ist zu entnehmen, dass in the wild bislang kein Exploit beobachtet wurde, der die Schwachstelle aktiv ausnutzt. Dennoch sollten Linux-Nutzer ihre Systeme so zeitnah wie möglich auf den neuesten Stand bringen. Hilfreich ist in diesem Zusammenhang eine gezielte Suche nach der CVE-Nummer der Schwachstelle – CVE-2018-5390.

Der Mainline-Kernel wurde bereits vor rund zwei Wochen gefixt. Informationen zu einzelnen Distributionen finden Sie hier: