Linux-Kernel-Updates schließen DoS-Schwachstellen

Mit dem Linux-Kernel 2.6.20.3 wurden zwei Schwachstellen im Netfilter-Modul beseitigt, mit denen sich ein System zum Absturz bringen und sich bestimmte Filterregeln umgehen ließen. So führt eine Null-Pointer-Dereference im Modul net/netfilter/nfnetlink_log.c zu einer Kernel Panic. Um den Absturz auszulösen, soll es genügen, ein präpariertes Paket an das System zu senden.

Eine Null-Pointer-Dereference in der Funktion ipv6_getsockopt_sticky im Modul net/ipv6/ipv6_sockglue.c musste schon der Kernel 2.6.20.2 beseitigen. Auch hier ließ sich eine Kernel Panic provozieren. Allerdings gibt es unterschiedliche Berichte, ob sie sich nur lokal oder auch aus der Ferne ausnutzen lässt. Das US-CERT geht zumindest davon aus, dass sich der Fehler über ein Netzwerk auslösen lässt.

Zumindest die letztgenannte Lücke haben einige Linux-Distributoren schon mit neuen Kernel-Paketen beseitigt. Als Workaround hilft auch das Abschalten von IPv6. Eine Anleitung für Suse gibt es hier: IPv6 dauerhaft ausschalten, für Debian beispielsweise hier: IPv6-Unterstützung unter Linux deaktivieren.

Über einen Fehler in der Funktion ipv6_conntrack_in im Modul net/ipv6/netfilter/nf_conntrack_l3proto_ipv6.c soll es zudem möglich sein, Netfilter fragmentierte IPv6 als "Established" vorzugaukeln. Damit wäre wahrscheinlich eine initiale Verbindungsaufnahme von außen möglich, ohne dass der Regelsatz dies vorsieht.

Siehe dazu auch:

• ChangeLog-2.6.20.3, Änderungsliste von Kernel.org
• Linux Kernel vulnerable to DoS via the ipv6_getsockopt_sticky() function, Warnung des US-CERT
• Fedora Core 6 Update: kernel-2.6.20-1.2925.fc6, Fehlerbericht von Fedora

(dab)