Netscreens Firewall mit Problemen
Die Firewall kann mit Paketen, die eine spezielle Window-Size haben, zum Absturz gebracht werden.
Netscreen bestätigt in einem Security-Advisory eine Schwachstelle im ScreenOS der Firewall/VPN-Produkte. Den Fehler entdeckten die Sicherheitsexperten der Papa Love Mambo Research Group (PLM) und meldeten sie auf Bugtraq.
Pakete mit bestimmten TCP-Windows-Sizes, die an die Firewall selbst gerichtet sind, bringen diese zum Absturz, beziehungsweise veranlassen einen Reboot. Betroffen davon sind das Telnet- und Web-Management unter ScreenOS 4.0.1r1 bis 4.0.1r6 und 4.0.3r1 bis 4.0.3r2. Entgegen dem Original-Advisory von PLM weist NetScreen darauf hin, dass SSH nicht betroffen sei.
Zum Beseitigen des Fehlers schlägt NetScreen mehrere Lösungen vor. Dazu gehören unter anderem das Update auf 4.0.1r7 oder 4.0.3r3, das Setzen von Filterregeln zum Zugriff auf das Management der Firewall sowie der Wechsel der Authentifizierungsmethode von WebAuth auf ProxyAuth.
Die TCP-Window-Size kann zum Performance-Tuning in Netzwerken eingesetzt werden. Da TCP eine gesicherte Datenübertragung liefert, muss der Sender eine Bestätigung über den Empfang der Daten erhalten. Die Window Size gibt die Menge an Daten an, die der Sender losschicken kann, ohne eine Bestätigung vom Empfänger erhalten zu haben. (dab)
