Routing-Tabellen unter Linux anfällig für Denial-of-Service-Attacken (Update)
Red Hat berichtet über Implementierungsfehler im Linux-Kernel, der es ermöglicht, Systeme mit gefälschten IP-Paketen lahmzulegen.
Nutzt ein Angreifer die gefundene Schwachstelle aus, reichen 400 IP-Pakete pro Sekunde, um ein Linux-System zum Stillstand zu bringen. Eine bereits im Februar veröffentliche Studie zu Low-Bandwidth-Denial-of-Service-Attacken weist auf die Gefahr hin, mit wenig Bandbreite in kurzer Zeit Server zu crashen.
Der Fehler basiert auf der Behandlung neuer Routen und wie sie in den Routing-Cache einsortiert werden. Um schnell herauszufinden, über welche Schnittstelle ein Antwortpaket zu verschicken ist, führt der Kernel so genannte Hash-Tabellen. In diesen lassen sich einzelne Einträge über Schlüssel schnell nachschlagen. Das bringt aber nur dann etwas, wenn die Einträge einigermaßen gleich über alle Schlüssel verteilt sind. Erhält der Linux-Kernel nun Pakete mit speziell gefälschten Quelladressen, sortiert er (fast) alle Einträge unter einem Schlüssel ein (table collision). Dies führt nach Angaben von Red Hat zu einer hohen CPU-Last, bis hin zum Stillstand des Systems. Da unter Linux nicht nur Router mit solchen Hash-Tabellen arbeiten, sind auch Server oder Desktops mit Netzwerkverbindung betroffen. Bisher ist uns kein öffentlicher Exploit zu diesem Angriff bekannt. Sollte ein solcher auftauchen, besteht die Gefahr, dass Skript-Kiddies versuchen, in großem Stil Linux-Rechner lahmzulegen,
Frühere Distributed-Denial-of-Service-Attacken gegen Webportale brachten diese durch die extrem hohe Anzahl von Verbindungen zum Stillstand. 400 Pakete pro Sekunden lassen sich mit einer Modemverbindung leicht bewerkstelligen. Als Betroffener kann man sich gegen solche Angriffe eigentlich nur durch einen entsprechenden Kernel-Patch schützen.
Langfristig ist zu hoffen, dass die Provider etwas gegen Angriffe mit gefälschten IP-Quelladressen unternehmen. Sie können dazu auf ihrem Einwahl-Routern beziehungsweise an den Übergängen zu anderen Netzen Pakete verwerfen, die dort nichts zu suchen haben, weil sie zum Beispiel nicht aus ihrem Netz stammen. Das machen zwar bereits einzelne Provider, wirkliche Abhilfe schafft das aber erst, wenn es flächendeckend praktiziert wird.
Alle auf dem 2.4-Kernel basierenden Linux-Distributionen dürften von dem Bug betroffen sein. Red Hat stellt bereits einen Patch zur Behebung des Fehlers zur Verfügung. (dab)
