heise PlusAbo
Anzeige

Fehler im Address Resolution Protocol gefährdet FreeBSD-Systeme [2. Update]

Durch einen Fehler bei der Verarbeitung einer hohen Zahl ARP-Requests kann FreeBSD abstĂĽrzen

vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Auf der FreeBSD-Mailingliste ist heute ein Security Advisory erschienen, das einen Fehler bei der Verarbeitung von ARP-Request beschreibt. Das Address Resolution Protocol (ARP) dient der Zuordnung von IP-Adressen zu MAC-Adressen im lokalen Netzwerk. Ein System fragt mittels Broadcast "who has ip-address" und erhält vom Zielsystem die entsprechende MAC-Adresse als Antwort. Diese Zuordnungen werden im ARP Cache gespeichert und nach einer gewissen Zeit wieder gelöscht.

Durch einen Fehler in der Funktion arplookup() kann ein Angreifer ein FreeBSD-System in einem lokalen Netzwerk mit ARP-Requests überfluten. Dazu sendet er in kürzester Zeit Anfragen mit gefälschten Quell-Adressen. Als Folge verbraucht der Cache zu viele Speicherressourcen, was zu einer Kernel Panic führt und das System zum Stillstand bringen kann. Da der Angriff auf lokale Netze beschränkt ist, ist der Fehler als weniger kritisch einzustufen, es sei denn, Router mit Proxy-ARP-Funktion leiten Anfragen über Netzgrenzen hinweg.

Betroffen sind alle FreeBSD-Versionen STABLE, RELEASE und PRERELEASE. Andere BSD-Derivate können ebenfalls verwundbar sein, nach Angaben von FreeBSD.org liegt der Fehler in einem Codeteil, der bereits von der Berkeley Computer System Research Group (CSRG) für Berkeley-BSD entwickelt wurde. Auch in Mac OS X ist der Fehler zu finden, der dazugehörige Patch von Apple wurde zwar gestern zum Download bereitgestellt. Da aber einige G4s danach keine Netzwerkverbindung hatten, zog Apple das Update wieder zurück.

Auch FreeBSD.org empfiehlt das Einspielen der Patches, einen Workaround gibt es nicht.

Update:
In einer Mail an security-advisories@freebsd.org hat das FreeBSD-Team eine neue Version des Advisories veröffentlicht (siehe Online Advisory). Demnach enthielt der ursprüngliche Patch einen (Tipp-)Fehler, der in einer neuen Version korrigiert wurde. Wer den ersten Patch eingespielt hat, sollte diesen rückgängig machen und den neuen einspielen.

Siehe dazu auch: (dab)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten