Linux-Bug macht beliebte Websites wie USA Today angreifbar

Der Fehler steckt im Standard RFC 5961. Er soll eigentlich die Sicherheit von TCP-Verbindungen verbessern. Stattdessen sind sie nun anfällig für das Einschleusen von Schadcode und Inhalten in einen unverschlüsselten Datenstrom. Der Linux-Kernel 4.7 enthält bereits einen Fix.

Wissenschaftler der University of California und des US-Army Research Laboratory haben eine Sicherheitslücke entdeckt, die es erlaubt, beliebige Inhalte in legitime Websites wie USA Today einzuschleusen. Auf dem Usenix Security Symposium stellten sie einen Proof-of-Concept-Exploit vor, der sich offenbar auch auf andere, nicht näher genannte Websites anwenden lässt, wie Ars Technica berichtet. Der eigentliche Fehler steckt in der Implementierung des Standards RFC 5961, der seit der Version 3.6 ein Bestandteil des Linux-Kernels ist.

Bug entdeckt (Bild: Shutterstock)Andere Betriebssysteme wie Windows oder Mac OS X sind nicht angreifbar, da sie RFC 5961 noch nicht vollständig implementiert haben. Ziel des Standards ist es, die Robustheit des Internetprotokolls TCP zu verbessern und vor bestimmten Hackerangriffen zu schützen.

Die Lücke erlaubt einen sogenannten „Blind Off-Path“-Angriff, bei dem Hacker von einem beliebigen Standort im Internet aus feststellen können, wann zwei Parteien über eine aktive TCP-Verbindung miteinander kommunizieren. Anschließend können sie entweder die Verbindung beenden, Schadcode ober beliebige Inhalte in einen unverschlüsselten Datenstrom einfügen oder möglicherweise auch Nutzer des Anonymisierungsnetzwerks Tor ausspähen.

Die Website von USA Today ist angreifbar, weil sie keine Verschlüsselung verwendet. JavaScript-Code lässt sich in diesem Beispiel über Eingabefelder für E-Mail und Passwort einschleusen. Zudem gilt dem Bericht zufolge eine zeitliche Einschränkung: Ein Angriff muss innerhalb von etwa 60 Sekunden abgeschlossen sein. Weitere Details des Angriffs zeigen die Forscher in einem Video.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Für Linux liegt inzwischen ein Fix vor. Er wurde in die vor drei Wochen erschienene Kernelversion 4.7 eingepflegt, allerdings noch nicht in die wichtigsten Linux-Distributionen. Damit der Angriff funktioniert, muss nur eine der beiden per TCP kommunizierenden Parteien eine Website oder ein Dienst sein, der auf einem Linux-Server ausgeführt wird.

„Durch ausgiebige Experimente haben wir gezeigt, dass der Angriff sehr effektiv und zuverlässig ist“, schreiben die Forscher in ihrem Bericht (PDF). Er lasse sich aber nicht nur gegen Websites, sondern auch gegen SSH-Verbindungen einsetzen. Andere Betriebssysteme könnten unter Umständen durch eine vollständige Implementierung von RFC 5961 ebenfalls anfällig werden. „Ich würde sagen, dass RFC 5961 so geschrieben wurde, dass eine direkte Implementierung in ein OS problematisch ist. Ich glaube, wir sollten die Verantwortung zwischen RFC und der Implementierung aufteilen.“

Themenseiten: Internet, Linux, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Linux-Bug macht beliebte Websites wie USA Today angreifbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *