Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018

In der Nacht auf heute wurde eine Schwachstelle im Linux Kernel bekannt, die einen DoS-Angriff durch spezielle TCP-Pakete ermöglicht:

Linux kernel versions 4.9+ can be forced to make very expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() for every incoming packet which can lead to a denial of service. An attacker can induce a denial of service condition by sending specially modified packets within ongoing TCP sessions.
Auf den ersten Blick klingt das  hochkritisch und stellt eine enorme Gefahr für Unternehmen dar, die Webauftritte und Mailserver auf Linux-Servern betreiben.

Auf den zweiten Blick gibt es jedoch einige wichtige Einschränkungen, die das Risiko minimieren. Betroffen sind nur Linux-Distributionen, die auf Kernelversionen neuer als 4.9 aufsetzen. Weder Red Hat Enterprise Linux noch SUSE Linux (ausser die gerade veröffentlichte Version 15) sind verwundbar.

Für die verwundbaren Distributionen Debian und Ubuntu (nur in Version 18.04, also dem letzten LTS-Release) gibt es bereits aktualisierte Kernelversionen in den Paketquellen.

Weiters ist das Ausnützen der Schwachstelle nicht so trivial, wie es auf den ersten Blick erscheint. Auch wenn noch kein PoC-Code öffentlich verfügbar ist scheint es so, als ob zwar potentiell sehr geringe Trafficmengen ausreichend sind, aber die TCP-Verbindung gewisse Parameter erfüllen muss, die nicht bei jedem Service gegeben sind.

Netzwerke, in denen die TCP-Verbindungen durch einen Loadbalancer terminiert werden mögen zwar in der Theorie verwundbar sein, werden aber durch eben jene Terminierung vor einer Ausnutzung geschützt.

Zusammengefasst sollte man sich auf folgende Punkte konzentrieren:

  • Die meisten Linuxdistributionen, die im Businessumfeld zu finden sind nutzen noch Kernelversionen <4.9 und sind dementsprechend nicht verwundbar.
  • Eine vollständige TCP-Verbindung ist notwendig, dementsprechend ..
    • .. ist IP-Spoofing unmöglich
    • .. handelt es sich hier nicht um ein simples "Ping of Death"-Szenario
    • .. müssen bestimmte Pakete vom Server zurückgeschickt werden, was die Anzahl an anfälligen Protokollen weiter reduziert.
  • Es gibt noch keinen öffentlich verfügbaren PoC-Code, allerdings bereits Patches für alle grösseren Distributionen (bzw. Betriebssysteme; FreeBSD ist von einer nahezu identen Lücke betroffen)
Wie so oft ist also zu sagen: Keine Panik. Eruieren, ob man selbst eine verwundbare Kernelversion im Einsatz hat und falls notwendig die verfügbaren Patches im Rahmen des nächsten regulären Patchzyklus einzuspielen ist ausreichend.

(Schlussanmerkung des Autors: Im Netz beginnt der Name "SegmentSmack" zu kursieren. Bitte, bitte .. nicht.)

Autor: Alexander Riepl

In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018

Für unsere täglichen Routineaufgaben suchen wir derzeit 1 Berufsein- oder -umsteiger/in mit ausgeprägtem Interesse an IT-Security, welche/r uns bei den täglich anfallenden Standard-Aufgaben unterstützt.

Details finden sich auf unserer Jobs-Seite.

Autor: Robert Waldner

NIS Update
15. Mai 2018

Am 9. Mai hätte Österreich die NIS-Direktive umgesetzt haben sollen. Das haben wir verpasst. Wir haben noch immer kein NIS-Gesetz, und leider auch noch keinen Entwurf dazu in Begutachtung.

Aber: ein Teil der NIS-Thematik (Anbieter digitaler Dienste) fällt unter die Vollharmonisierung und wird daher direkt aus Brüssel heraus gültig. Die entsprechende Verordnung wurde im Jänner veröffentlicht und ist seit 10. Mai in Kraft.

Will man wissen, was in Sachen NIS-Gesetz an Regelungen kommen wird, so liegt man nicht komplett falsch, wenn man sich dieses Regelwerk für die AdD anschaut.

Autor: Otmar Lendl

#efail #fail
14. Mai 2018

Aktuell gehen Berichte um (Twitter, ars technica, EFF, ...), die vor einem Sicherheitsproblem mit verschlüsselten Mails berichten. Die EFF geht soweit, eine Deinstallation diverser Tools zu empfehlen.

Während ich diesen Blogpost schreibe, gingen die Researcher mit ihren Ergebnissen online: https://efail.de/ Yay! Eine Vuln mit coolem Namen und Logo.

Hier die wichtigsten Punkte:

  • Das Problem ist nicht die Verschlüsselung, sondern liegt im automatischen Entschlüsseln in Verbindung mit aktivem Inhalt (also HTML).
  • Es werden morgen zwei verschiedene Angriffsvarianten vorgestellt werden.
  • Eine davon ist nicht trivial ausnutzbar.
  • Es betrifft nicht nur PGP, sondern auch S/MIME.
  • Durch Updates der Mail-Software lässt sich das Problem leicht aus der Welt schaffen.

Unsere Empfehlungen:

  • PGP Plugins aktuell halten
  • Optimalerweise Mails in der Plaintext-Version anzeigen lassen, wenn HTML, dann wenigstens "remote content" (also nachgeladene Bilder) abdrehen.
  • Aktuell ist die größere Gefahr eine Kurzschlussreaktion wegen Drucks von den Medien und/oder dem Management.

Quellen:

Ein Entwickler von Enigmail (PGP-Plugin für Mozilla-Produkte wie Thunderbird) schreibt:

We saw a preview of that paper. It's under embargo so it would be inappropriate for us to comment on it until it's released. It was also inappropriate for the EFF to comment on it. You can expect us to have an official statement on it once the paper is published.

I will say this is a tempest in a teapot. Patrick, Werner, and I have all seen it. We are not in the least bit worried. We wish the EFF had reached out to us before running with an alarmist article.

tl;dr: as always, please use the latest Enigmail version, and do so with confidence.

Die GPG-Enwickler schreiben:

The topic of that paper is that HTML is used as a back channel to create an oracle for modified encrypted mails. It is long known that HTML mails and in particular external links like are evil if the MUA actually honors them (which many meanwhile seem to do again; see all these newsletters). Due to broken MIME parsers a bunch of MUAs seem to concatenate decrypted HTML mime parts which makes it easy to plant such HTML snippets.

There are two ways to mitigate this attack

- Don't use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links.

- Use authenticated encryption.

[...]

Update 2018/05/15

An Official Statement on New Claimed Vulnerabilities by the GnuPG and Gpg4Win teams

1. This paper is misnamed. 2. This attack targets buggy email clients. 3. The authors made a list of buggy email clients.

Enigmail Update

Thereare two different attacks outlined in the Efail paper. One targets OpenPGP directly, and GnuPG has had mitigations against it for almost twenty years. Reports saying that GnuPG is vulnerable are wrong.

The other one targets buggy MIME parsing by email clients. Enigmail previously had some susceptibility to it, but as of Enigmail 2.0 we've closed up all the leaks on our side of things. There is still a small bit of attack surface in Thunderbird. The code to fix that has been checked into Thunderbird and will be part of the next Thunderbird release.

Aaron Kaplan zu Mitigation am Mac

Luckily there is a good tool for this: Little Snitch (and as far as I know, this is the only tool of its kind on OS X). With Little Snitch, which acts as an outgoing firewall, I am able to protect and filter the communication flows.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar
21. Juni 2018 | Beschreibung Cisco ...
Security Advisory für Microsoft Exchange Server
20. Juni 2018 | Beschreibung | Microsoft ...
mehr ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2018/8/7 - 13:26:08
Haftungsausschluss / Datenschutzerklärung