TÜV entdeckt Sicherheitsloch in Firewall

Bei einer routinemäßigen Sicherheitsüberprüfung mehrerer Kunden aus dem Bereich Internet-Providing (ISP) entdeckten die Spezialisten der TÜV data protect gravierende Sicherheitsmängel in der Firewall-Software "IP Filter". Diese kommt insbesondere auf BSD-Systemen wie OpenBSD, FreeBSD und NetBSD zum Einsatz. Betroffen sind Version 3.4.16 sowie die älteren Releases.

Die Behandlung von fragmentierten Paketen kann dazu führen, dass der Firewall Pakete, die er nach den Regeln eigentlich verwerfen müsste, trotzdem an das System weiterleitet. Konkret muss ein Angreifer dazu zunächst ein Paket an einen offenen TCP-Port senden. Der Firewall merkt sich dann in einem speziellen Cache diese reguläre Verbindung und wendet diese Cache-Regel auch auf folgende Pakete an, die sich zwar an einen anderen TCP-Port richten, aber dieselben IP-Informationen tragen. Die Lücke lässt sich auch ausnutzen, wenn der Firewall fragmentierte Pakete verwerfen soll. Auf diesem Weg lassen sich beliebige Dienste auf dem Firewall-Rechner erreichen.

Nachdem einer der Entdecker die Sicherheitsklücke und die notwendigen Tools, um die "getarnten" Pakete zu erzeugen, auf der Mailingliste Bugtraq veröffentlicht hat, ist dringend anzuraten, auf die bereits korrigierte Version 3.4.17 von IP Filter umzustellen. (ju)