Loch in Linux-Firewalls

Die Entwickler der Firewall-Funktionen in Linux haben ein Sicherheitsproblem im Zusammenhang mit der erweiterten IRC-Unterstützung entdeckt und stellen einen Patch dagegen bereit. Betroffen sind die Kernel-Versionen 2.4.14 bis 2.4.18-pre8, wenn das Modul ip_conntrack_irc geladen ist. Dieses Modul öffnet für Direct-Client-to-Client-Kommunikation (DCC) einen Port für eine private Verbindung zwischen zwei IRC-Clients, die nicht über den IRC-Server läuft. Durch einen Fehler in der Implementierung ist diese Verbindung nicht auf den gewünschten Kommunikationspartner (beziehungsweise dessen IP-Adresse) beschränkt, sondern beliebige Rechner können Pakete an den zuvor über das DCC-Protokoll ausgehandelten Port senden.

Als Sofortmaßnahme kann man das ip_conn_track-irc-Modul entfernen oder deaktivieren, was allerdings zur Folge hat, dass DCC nicht oder nur noch eingeschränkt funktioniert. Wer seinen Kernel nicht selbst patchen möchte, sollte auf das aktuelle Release 2.4.18 umsteigen oder ein passendes Update seines Distributors einspielen. Die Distributoren sind bereits benachrichtigt und zumindest Red Hat stellt bereits ein entsprechendes Kernel-Update bereit, das den Fehler beseitigt. (ju)