[Fwd: [heise.de] TÜV entdeckt Sicherheitsloch in Firewall 11.04.2001 16:00]

From: Raphael H. Becker (beckerra_at_rumms.uni-mannheim.de)
Date: 12. Apr 2001

• Nächste Nachricht: Raphael H. Becker: "Re: [FYI] Einladung zur Online-Diskussion zum Thema "UUGRN-Event" am 9.4.2001 um 21:00"
• Vorherige Nachricht: Raphael H. Becker: "Re: FTP-Server spiegeln (mit wget?)"

Hi Liste,

vielleicht interessiert es ja wen ...

Gruss
Raphael

-------- Original Message --------
From: "Raphael H. Becker" <beckerra_at_rumms.uni-mannheim.de>
Subject: [heise.de] TÜV entdeckt Sicherheitsloch in Firewall 11.04.2001
16:00
To: heisenewsfeed_at_rhb.swm.uni-mannheim.de

   TÜV entdeckt Sicherheitsloch in Firewall
   [11.04.2001 16:00 ]
   
   Bei einer routinemäßigen Sicherheitsüberprüfung mehrerer
   Kunden aus dem Bereich Internet-Providing (ISP) entdeckten die
   Spezialisten der TÜV data protect[1] gravierende
   Sicherheitsmängel in der Firewall-Software "IP Filter". Diese
   kommt insbesondere auf BSD-Systemen wie OpenBSD, FreeBSD und
   NetBSD zum Einsatz. Betroffen sind Version 3.4.16 sowie die
   älteren Releases.
   
   Die Behandlung von fragmentierten Paketen kann dazu führen,
   dass der Firewall Pakete, die er nach den Regeln eigentlich
   verwerfen müsste, trotzdem an das System weiterleitet. Konkret
   muss ein Angreifer dazu zunächst ein Paket an einen offenen
   TCP-Port senden. Der Firewall merkt sich dann in einem
   speziellen Cache diese reguläre Verbindung und wendet diese
   Cache-Regel auch auf folgende Pakete an, die sich zwar an
   einen anderen TCP-Port richten, aber dieselben
   IP-Informationen tragen. Die Lücke lässt sich auch ausnutzen,
   wenn der Firewall fragmentierte Pakete verwerfen soll. Auf
   diesem Weg lassen sich beliebige Dienste auf dem
   Firewall-Rechner erreichen.
   
   Nachdem einer der Entdecker die Sicherheitsklücke und die
   notwendigen Tools, um die "getarnten" Pakete zu erzeugen, auf
   der Mailingliste Bugtraq veröffentlicht hat, ist dringend
   anzuraten, auf die bereits korrigierte Version 3.4.17 von IP
   Filter[2] umzustellen. (ju[3]/c't)
     _________________________________________________________
   
   URL dieses Artikels:
     http://www.heise.de/newsticker/data/ju-11.04.01-000/
   
   Links in diesem Artikel:
     [1] http://www.tuev-dataprotect.com/
     [2] http://coombs.anu.edu.au/~avalon/
     [3] mailto:ju_at_ct.heise.de
     _________________________________________________________
   
   Copyright 2001 by Verlag Heinz Heise

References

   Visible links
   Hidden links:
   1. http://www.heise.de/newsticker/

• Nächste Nachricht: Raphael H. Becker: "Re: [FYI] Einladung zur Online-Diskussion zum Thema "UUGRN-Event" am 9.4.2001 um 21:00"
• Vorherige Nachricht: Raphael H. Becker: "Re: FTP-Server spiegeln (mit wget?)"

Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET