Eine Sicherheitslücke erlaubt es, in legitime und vielbesuchte Websites unter Umständen beliebige Inhalte einzuschleusen, wenn die auf einem Linux-Server betrieben werden. Der Fehler ist auf die Implementierung des Standards RFC 5961 zurückzuführen, der seit der Version 3.6 ein Bestandteil des Linux-Kernels ist. Entdeckt haben ihn Wissenschaftler der University of California und des US-Army Research Laboratory, die den möglichen Exploit nun auf dem Usenix Security Symposium präsentiert haben. Da bei ihnen RFC 5961 noch nicht vollständig implementiert wurde, sind Windows und Mac OS X nicht angreifbar.
Über die Lücke ist ein sogenannter “Blind Off-Path”-Angriff möglich. Dabei lässt sich von einem beliebigen Standort im Internet aus feststellen, wenn zwei Parteien über eine aktive TCP-Verbindung kommunizieren. Angreifer können dann entweder Verbindung beenden, Schadcode ober beliebige Inhalte einfügen oder möglicherweise auch Nutzer des Anonymisierungsnetzwerks Tor ausspähen. Damit der Angriff funktioniert, reicht es aus, wenn nur eine der beiden Parteien eine Website oder ein Dienst ist, der auf einem Linux-Server ausgeführt wird.
Ihren Proof-of-Concept demonstrierten drei Forscher am Beispiel der Website von USA Today. Die wählten sie, weil die keine Verschlüsselung verwendet. Auf der Website lässt sich JavaScript-Code über Eingabefelder für E-Mail und Passwort einschleusen. Allerdings muss das schnell erfolgen denn der Angriff muss innerhalb von etwa 60 Sekunden abgeschlossen sein.
In der vor drei Wochen veröffentlichten Kernelversion 4.7 von Linux ist das Problem bereits behoben. Allerdings hat die noch nicht in alle Linux-Distributionen Eingang gefunden.
“Durch ausgiebige Experimente haben wir gezeigt, dass der Angriff sehr effektiv und zuverlässig ist”, schreiben die Forscher (PDF). Er lasse sich nicht nur gegen Websites, sondern auch gegen SSH-Verbindungen einsetzen. Durch eine vollständige Implementierung von RFC 5961 könnten andere Betriebssysteme unter Umständen künftig ebenfalls anfällig werden. Ihrer Ansicht nach wurde RFC 5961 so geschrieben, dass die direkte Implementierung in ein Betriebssystem “problematisch” ist. Sie teilen daher die Schuld für das Sicherheitsproblem zwischen den Autoren von RFC 5961 und den Entwicklern, die ihn in Linux implantiert haben auf.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…