Bericht: OpenBSD-Entwickler wollten Lücke kleinreden [Update]

Mit einem ICMP6-Paket soll es möglich sein, ein System unter seine Kontrolle zu bringen. Der Patch stand zwar schnell zur Verfügung, allerdings kam es bei der Einschätzung der Lücke zu Streitereien zwischen dem Entdecker und dem OpenBSD-Team.

In Pocket speichern vorlesen Druckansicht 216 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Der gestern gemeldete Fehler in OpenBSD hat es mehr in sich als vermutet: Mit einem ICMP6-Paket soll es möglich sein, ein System unter seine Kontrolle zu bringen. Mindestens soll sich das System aber zum Absturz bringen lassen, was für viele Betreiber eines Internet-Servers allein schon inakzeptabel ist. Zunächst gab es vom OpenBSD-Team keine genaueren Informationen zu dem Problem. Heute hat Core Security, der Entdecker der Lücke, nähere Informationen zu dem Problem geliefert und offenbart dabei, wie Entwickler Sicherheitsprobleme kleinreden wollen.

So stellte das OpenBSD-Team kurz nach Erhalt der Informationen über den Fehler einen Patch bereit, war aber nicht gewillt, den Fehler als "Vulnerability" oder "Security Issue" einzustufen. Core Security hatte nur einen Exploit mitgeschickt, der eine Kernel Panic verursachte. Nach Lesart von OpenBSD sind Fehler die zum Absturz eines Servers führen, selbst wenn sie sich aus der Ferne ausnutzen lassen, keine Lücke. Eine Lücke läge nur vor, wenn sich das System kompromittieren lasse. Eine ähnlich eigenwillige Definition bei Sicherheitsproblemen haben etwa auch die FreeBSD-Entwickler, die etwa für lokale DoS-Schwachstellen keine Updates zur Verfügung stellen.

Die Einschätzung von OpenBSD wollte Core Security allerdings nicht teilen, man werde weiterhin von einer Sicherheitslücke sprechen. Zudem sei nicht abschließend geklärt, ob sich über den Fehler nicht doch Code einschleusen und starten ließe. Die OpenBSD-Entwickler verneinten dies, eine Analyse habe ergeben, dass der Fehler nur zu einer Speicherverletzung führe und sich keine Daten gezielt einschleusen ließen. Core Security lieferte daraufhin die Ultima Ratio: ein Exploit, mit dem sich Code mit Kernelrechten ausführen ließ. Laut Fehlerbericht gaben die Entwickler aber immer noch nicht klein bei und stuften den Patch als "Reliability Fix" ein, also einem Patch für mehr Stabilität. Erst nach weiterem Hickhack markierte das OpenBSD-Team den Fix als sicherheitsrelevant; vorher musste Core Security aber noch zuwilligen, im Fehlerbericht darauf hinzuweisen, dass sich der Fehler nur in IPv6-Netzen missbrauchen lässt, was den Spielraum für Angriffe derzeit stark einschränkt.

Update:
Henning Brauer vom OpenBSD-Team weist darauf hin, dass zum Zeitpunkt der Freigabe des Patches lediglich die Behauptung von Core Security im Raum stand, dass über den Fehler Code eingeschleust werden könnte. Es sei aber nicht klar gewesen, ob dies tatsächlich möglich sei. Um die Veröffentlichung nicht zu verzögern, habe man den Patch zunächst als Reliability Fix freigegeben. Und als schließlich klar war, dass der Fehler sicherheitsrelevant war, habe man dies sofort dokumentiert. Von "kleinreden" könne deshalb nicht die Rede sein.

Im Widerspruch dazu steht, dass Core Security das OpenBSD-Team bereits zwei Tage vor Veröffentlichung des Reliability Fixes über den Proof of Concept Exploit informiert hatte. Warum es in diesen zwei Tagen nicht möglich war, die Behauptungen zu überprüfen, konnte Brauer nicht erklären.

Siehe dazu auch:

(dab)