Juniper beseitigt DoS-Schwachstelle in Routern
Die Schwachstelle soll sich ausnutzen lassen, um mit präparierten TCP-Paketen einen Router zum Neustart zu bringen. Der Fehler lässt sich auch mit gespooften Paketen an Dienste des Routers provozieren.
- Daniel Bachfeld
Der Netzwerkausrüster Juniper hat ein Update herausgegeben, das eine DoS-Schwachstelle in seinen Routern beseitigen soll. Berichten zufolge soll sich die Schwachstelle ausnutzen lassen, um mit präparierten TCP-Paketen einen Router zum Neustart zu bringen. Dazu muss im Paket eine besondere Kombination von TCP-Options gesetzt und das Paket an einen auf dem Router laufenden Dienst adressiert sein. Dabei genügt aber offenbar das erste TCP-Paket, um den Fehler zu provozieren. Ein vollständiger 3-Wege-Handshake ist nicht erforderlich. Transiente Pakete, also Pakete die nur weitergroutet werden, verursachen den Absturz und den anschließenden Reboot nicht.
Genauere Angaben sind offiziell nicht verfügbar, da Juniper seine Fehlerbericht nur Kunden und Partnern zur Verfügung stellt. Im unabhängigen Blog "Praetorian Prefect" sind allerdings Angaben zu den verwundbaren Versionen zu finden. Demnach scheinen Router mit JUNOS 9.x, 8.x und 7.x mit einem Release vor dem 28. Januar 2009 verwundbar zu sein. Zwar sind vermutlich auch 3.x, 4.x, 5.x und 6.x betroffen, diese Versionen werden aber offiziell vom Hersteller nicht mehr unterstützt.
Neben dem Update soll es keine hundertprozentig funktionierenden Workarounds geben – das alleinige Filtern von TCP-Paketen per Firewall soll nicht helfen. Daher empfiehlt Juniper seinen betroffenen Kunden Anti-Spoofing-Maßnahmen zu ergreifen, um Pakete mit gefälschter Absenderadresse zu erkennen. Mehrere ISPs sollen ihre Core-Router bereits seit Anfang Januar aktualisiert haben. (dab)
