Linux-Firewalls anfällig für DoS-Angriffe [Update]

Das Netfilter-Team hat zwei Advisories zu Fehlern in den Firewall-Funktionen des Linux-Kernels herausgegeben. Eines bezieht sich auf die Network Adress Translation (NAT), das andere auf das Connection Tracking, das Pakete einer Verbindung zuordnet. Beide Schwachstellen ermöglichen es unter bestimmten Umständen, dass Angreifer ein betroffenes System zum Absturz bringt (Denial-of-Service, DoS); zumindest das Connection-Tracking-Problem stufen die Entwickler als schwerwiegend ein. Betroffen ist die Kernel-Version 2.4.20, die Entwickler empfehlen ein Upgrade auf 2.4.21.

Das Netfilter-Team benachrichtigte bereits im März die Distributoren über deren Sicherheits-Mailingliste. Die einzige Reaktion kam von RedHat, die das Problem bestätigt und in ihren 2.4.20er-Kerneln beseitigt haben. Über den Status der anderen Distributionen ist derzeit noch nichts bekannt.

Auffällig ist der lange Zeitraum zwischen der Verfügbarkeit des Patches und dem Advisory: Fast fünf Monate waren zahlreiche Linux-Systeme für einen bekannten DoS-Angriff anfällig, ohne dass eine Warnung erfolgte. Ein Kommentar auf heise Security beschäftigt sich deshalb mit der Frage: Wann veröffentlichen? (ju)