Websites möglicherweise über Fehler im Linux-Kernel angreifbar
Der Fehler in der Implementierung von RFC 5961 ist seit Version 3.6 Bestandteil des Linux-Kernels. Windows ist nicht angreifbar, weil da der Standard noch nicht implemtiert wurde. In der Linux-Kernelversion 4.7 ist das Problem behoben.
Eine Sicherheitslücke erlaubt es, in legitime und vielbesuchte Websites unter Umständen beliebige Inhalte einzuschleusen, wenn die auf einem Linux-Server betrieben werden. Der Fehler ist auf die Implementierung des Standards RFC 5961 zurückzuführen, der seit der Version 3.6 ein Bestandteil des Linux-Kernels ist. Entdeckt haben ihn Wissenschaftler der University of California und des US-Army Research Laboratory, die den möglichen Exploit nun auf dem Usenix Security Symposium präsentiert haben. Da bei ihnen RFC 5961 noch nicht vollständig implementiert wurde, sind Windows und Mac OS X nicht angreifbar.
Über die Lücke ist ein sogenannter “Blind Off-Path”-Angriff möglich. Dabei lässt sich von einem beliebigen Standort im Internet aus feststellen, wenn zwei Parteien über eine aktive TCP-Verbindung kommunizieren. Angreifer können dann entweder Verbindung beenden, Schadcode ober beliebige Inhalte einfügen oder möglicherweise auch Nutzer des Anonymisierungsnetzwerks Tor ausspähen. Damit der Angriff funktioniert, reicht es aus, wenn nur eine der beiden Parteien eine Website oder ein Dienst ist, der auf einem Linux-Server ausgeführt wird.
Ihren Proof-of-Concept demonstrierten drei Forscher am Beispiel der Website von USA Today. Die wählten sie, weil die keine Verschlüsselung verwendet. Auf der Website lässt sich JavaScript-Code über Eingabefelder für E-Mail und Passwort einschleusen. Allerdings muss das schnell erfolgen denn der Angriff muss innerhalb von etwa 60 Sekunden abgeschlossen sein.
In der vor drei Wochen veröffentlichten Kernelversion 4.7 von Linux ist das Problem bereits behoben. Allerdings hat die noch nicht in alle Linux-Distributionen Eingang gefunden.
“Durch ausgiebige Experimente haben wir gezeigt, dass der Angriff sehr effektiv und zuverlässig ist”, schreiben die Forscher (PDF). Er lasse sich nicht nur gegen Websites, sondern auch gegen SSH-Verbindungen einsetzen. Durch eine vollständige Implementierung von RFC 5961 könnten andere Betriebssysteme unter Umständen künftig ebenfalls anfällig werden. Ihrer Ansicht nach wurde RFC 5961 so geschrieben, dass die direkte Implementierung in ein Betriebssystem “problematisch” ist. Sie teilen daher die Schuld für das Sicherheitsproblem zwischen den Autoren von RFC 5961 und den Entwicklern, die ihn in Linux implantiert haben auf.
[mit Material von Stefan Beiersmann, ZDNet.de]