Fehler im Linux-Kernel

Sorgt für poröse Firewalls / Red Hat bietet Lösung

Ein Fehler in den Linux-Kernels 2.4.14 bis 2.4.18-pre9 sorgt für undichte Firewalls. Konkret hat sich die Netfilter Firewall-Software als problematisch erwiesen, so Jozsef Kadlecsik und Harald Welte vom Netfilter Team. Netfilter kommt auch beim Chat zweier Anwender über den Internet Relay Chat (IRC) zum Einsatz, und genau dabei hat er sich als zu durchlässig gezeigt.

Unter anderem Red Hat Linux in den Versionen 7.1 und 7.2 ist durch das Problem verwundbar. Das Unternehmen hat bereits eine Lösung im Angebot.

Kontakt:
Red Hat, Tel.: 0711/964370 (günstigsten Tarif anzeigen)

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Fehler im Linux-Kernel

Kommentar hinzufügen
  • Am 1. März 2002 um 15:01 von Mr.Death

    Auf solche Informationen kann man verzichten
    >Ein Fehler in den Linux-Kernels 2.4.14

    >bis 2.4.18-pre9 sorgt für undichte

    >Firewalls. Konkret hat sich die

    >Netfilter Firewall-Software als

    >problematisch erwiesen, so Jozsef

    >Kadlecsik und Harald Welte vom >Netfilter Team.

    (Netfilter-Firewall-Software? Netfilter ist doch keine Firewall-Software. Netfilter ist die Basis zur Paketbehandlung ab Kernel 2.4. Im Prinzip ist der Netfilter dafür da, die Pakete an die dafür zuständige Stelle weiterzureichen. Es gibt zwar Module für packetfiltering und nat, aber der Netfilter alleine ist KEINE Firewall-Software in diesem Sinn. Nur mal so nebenbei …)

    Wichtige Ergänzung zu diesem "Beitrag":

    Für das sog. Connection-Tracking gibt es einige Module, u.a. für FTP (andernfalls wäre aktives FTP* über einen Router nicht möglich), IRC, usw.

    D.h. das der Netfilter an sich nicht als problematisch zu bewerten ist, sondern nur das besagte Modul für den IRC. Wenn man also dieses Modul nicht explizit beim booten lädt, so tritt dieses Sicherheitsproblem also auch nicht auf.

    Nebenbei wird hier in dem einen Satz von Kernel 2.4.14-1.4.18pre9 gesprochen, im nächsten Satz wird plötzlich der gesamte Netfilter (seit Kernel 2.4.0) als problematisch bezeichnet. Das ergibt keinen Sinn!

    Wer die genaue Sicherheitslücke wissen möchte, der gehe auf

    online.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=4188

    An die Redaktion:

    Wieso läßt man solche Berichte auf Leser los? Man verwirrt sie nur und läßt sie in dem Glauben, dass der gesamte Netfilter unsicher sei. Das ist schlichtweg falsch. Vielleicht sollte man über ein wenig Hintergrundwissen verfügen, wenn man über eine Thematik schreibt, oder man übt noch ein bißchen, damit man bestehende Berichte abschreiben kann. Ich möchte hier nicht den Klugscheisser raushängen, aber ich möchte nicht, das andere Leser hier einen falschen Eindruck über den Netfilter erlangen. Die Möglichekeiten, die dieser einem bietet, sind größer als jegliche Lösung für MS-Betriebssysteme

    *beim aktiven FTP baut der Client zum Server (Ziel-Port 21) eine Verbindung auf (Control-Connection), über die er dem Server die Befehle mitteilt. Wenn der Client nun eine Datei runterladen möchte, so baut der Server eine weitere Verbindung (Data-Connection) zum Klienten auf. Jedoch ist der Ziel-Port zufällig. Wenn nun ein Router vor dem Klienten steht, so weiß dieser nichts mit dieser Verbindung anzufangen. Mithilfe von dem Modul Connection-Tracking weiß der Router aber, dass diese neue Verbindung zu einer erlaubten bestehenden gehört und leite sie an den entsprechenden Klienten weiter. Beim IRC sieht es ähnlich auf.

  • Am 1. März 2002 um 20:47 von Guntram

    Eure Berichtsqualität :-(
    Hallo !

    Ich muss hier Mr. Death (?) zustimmen, in letzter Zeit nimmt die Qualität Eurer Tests ab und viele Eurer aktuellen "Highlights" sind schlecht recherchierte Schnellschüsse …

    Das ist schon seit einiger Zeit bei den MS-Produkten (die Ihr so verteufelt, aber gleichzeitig immer Euer "Download-Tipps" sind) … und jetzt auch bei Eurem Liebling Linux …. peinlich, peinlich …

    Guntram

  • Am 1. März 2002 um 23:19 von John

    warum nicht mal auf Linux schimpfen :-)
    Microsoft wird ständig und immer angegriffen.

    Warum nicht auch mal Linux spammen :-)

  • Am 2. März 2002 um 11:31 von Mr.Death

    RE: warum nicht mal auf Linux schimpfen :-)
    >Microsoft wird ständig und immer

    >angegriffen.

    Zu Unrecht?

    >Warum nicht auch mal Linux spammen :-)

    Wenn es was Sachliches an Linux auszusetzen gibt, ist es in Ordnung. Aber in dieser Form, wie zdnet hier berichtete, also die Hälfte wegzulassen und somit die Sache hier völlig zu verdrehen, ist es einfach nicht aktzeptabel.

    Die Sicherheitslücke hier ist nur auf einigen wenigen Kernel-Versionen vorhanden und auch nur, wenn man dieses fehlerhafte Modul zusätzlich aktiviert hat. Wenn man diese Sicherheitslücke mal mit den letzten von MS-OS vergleicht …

  • Am 2. März 2002 um 17:50 von Brother Tak

    Fühlen sich da einige gewaltig
    auf den Schlips getreten und lassen den Larry raushängen. Sollte ZDNet erst ein Buch verfassen um diese Meldung unter die Leute bringen zu können. Manchmal kommt mir die Linuxgemeinde vor, wie eine Horde Cowboys. Alle negativen Berichte werden sofort zum Anlass genommen um um sich zu ballern. Sorry aber wenn bei einigen die Nerven blank liegen, hat das was mit den Problemen zu tun, die eine zu schnelle Veröffentlichung neuer Kernels mit sich bringt und die häufiger wie sonst die Stabilität und Sicherheit von Linux gefährdet. Das muss und darf kommuniziert werden ohne das man gleich exlinuxiert wird.

  • Am 2. März 2002 um 19:41 von Mr.Death

    RE: Fühlen sich da einige gewaltig
    >auf den Schlips getreten und lassen

    >den Larry raushängen. Sollte ZDNet

    >erst ein Buch verfassen um diese

    >Meldung unter die Leute bringen zu

    >können.

    ZDNET hat bislang eigentlich immer eine kleine Vorgeschichte, die über das nötige Hintergrundwissen informiert hat, geschrieben. In diesem Artikel war diese nicht nur völlig fehlerhaft sondern auch noch viel kürzer als üblich, da können selbst selbst Du nicht widersprechen.

    >Manchmal kommt mir die Linuxgemeinde

    >vor, wie eine Horde Cowboys. Alle

    >negativen Berichte werden sofort zum

    >Anlass genommen um um sich zu ballern.

    Was bezeichnest Du als Linuxgemeinde? Ich benutze auf meinem PC zum Arbeiten Win98, auf meinem Router/Firewall Linux und auf meinem Server Linux. Da sich Deine Kritik (weil ich mir die Mühe gemacht habe, den Artikel von ZDNET zu ergänzen bzw. zu korrigieren?) eher gegen mich richten dürfte, solltest Du nicht die "Linuxgemeinde" beleidigen.

    >Sorry aber wenn bei einigen die Nerven

    >blank liegen, hat das was mit den

    >Problemen zu tun, die eine zu schnelle

    >Veröffentlichung neuer Kernels mit

    >sich bringt und die häufiger wie sonst

    >die Stabilität und Sicherheit von

    >Linux gefährdet. Das muss und darf

    >kommuniziert werden ohne das man

    >gleich exlinuxiert wird.

    Nunja, die Kritik, dass die neuen Kernel zu schnell veröffentlich werden, ist berechtigt und wurde (soweit ich mich erinnern kann) bereits diskutiert. Ich denke, man geht in der Entiwcklung von Linux den richtigen Weg. Übrigens ist ja keiner gezwungen, einen neuen Kernel gleich im kommerziellen Bereich einzusetzen, weshalb die Gefahr beim Bekanntwerden solcher Sicherheitslücken wirklich sehr gering ist.

    Was mich an diesem Artikel eben gestört hat war, dass durch die zu kurz (und falsch) geratene Vorgeschichte die Sicherheitslücke völlig überdramatisiert wurde …

    Für mich ist das Thema hier abgehakt, wenn die Besucher lieber Halbwahrheiten lesen möchten, werde ich mir in Zukunft nicht mehr Zeit nehmen, solche Artikel zu ergänzen bzw. zu korrigieren. Ich kann mit meiner Zeit auch was besseres anfangen ;-) …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *