[Linux] Fehler im 2.6er ermöglicht DoS aus der Ferne

  • Themenstarter Themenstarter beko
  • Beginndatum Beginndatum
B

beko

Guest
There is a remotely exploitable bug in all Linux kernel 2.6 series due to
using incorrect variable type. Vulnerability is connected to netfilter
subsystem and may cause DoS. It's disclosed only when using iptables with
rules matching TCP options (i.e. --tcp-option). There is no difference
what action is taking up by matching rule.

Vulnerability was detected on i386 architecture. The other ones weren't tested
but it seems to be vulnerable too.
[...]

Quelle: securityfocus.com

Die Patch liegt dem Artikel ebenfalls bei, happy patching

(Beim Weg: Lässt jemand bereits seine/n Server mit nem 2.6er laufen? Ich nur Desktops und Laptops ;) )
 
Ich war ja eh schon so im Kernel-bauen drin X(

Naja, normalerweise heißt es ja, dass ein Kernel erst als "relativ" stabil und sicher gilt, wenn das Patchlevel zweistellig ist. Aber bei dem 2.6er sind ja einige Fehler sehr schnell ausgebessert worde... und jedesmal wurde die Version erhöht... vielleicht kommt in den nächsten Tagen schon 2.6.8 raus... und bis 2.6.10 ist nicht mehr viel Zeit... ?(

Wobei einige da wohl nicht ganz zustimmen werden, immerhin gibt es Leute, die auch heute noch den 2.2 Kernel laufen lassen....
 
Och Stabilitätsprobleme habe ich noch nie mit den 2.6ern - und Sicherheitslücken kommen sowohl für 2.2 als auch 2.4 beinahe wöchentlich raus ;) Der springende Punkt ist eben, dass diese auch wöchentlich gefixt werden und wir nicht auf die erste BlastLinuxbox.exe warten müssen 8)
 
Original von beko
Der springende Punkt ist eben, dass diese auch wöchentlich gefixt werden und wir nicht auf die erste BlastLinuxbox.exe warten müssen 8)
Zum Vergrößern anklicken....
Jupp! Und damit muss man sich als Admin einfach abfinden, das gehört eben zum Job seine Server ständig auf dem neuesten Stand zu halten und aktiv die einschlägigen Security-Newsletter zu lesen. Ein absolut sicheres OS gibt es nicht.

In der Beschreibung zu dem Bug steht ausserdem:
It's disclosed only when using iptables with rules matching TCP options (i.e. --tcp-option). There is no difference what action is taking up by matching rule.
Zum Vergrößern anklicken....

Wer verwendet schon den --tcp-option Paramter? Dies dürfte einer der am seltensten gebrauchten Paramter überhaupt sein! Ausserdem betrifft das ganze sowieso auch dann nur Firewall-Boxen mit iptables drauf - imho ein sehr geringer Anteil der ganzen Server im Internet. Also ich finde es hier verfehlt von einem generellen Fehler in allen 2.6.x Kerneln zu sprechen wenn der Bug nur in einem so speziellen Fall auftreten kann...

Und: Ja, ich habe schon Server die unter 2.6 laufen - ich denke wenn soviele Major-Server wie z.B. kernel.org & co alle auf 2.6 setzen kann man nicht mehr viel falsch machen, patchen musste beim 2.6er genau wie bei 2.4 und allen davor...
 
In vielen Skripten werden die Packete mit den TCP-Flags 64 und 128 verworfen da diese nicht spezifiziert sind und somit auch nicht gesetzt sein sollten..
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben