Eine Schwachstelle im Linux-Kernel kann unter bestimmten Umständen die Stabilität eines Mehrbenutzersystems beeinträchtigen. Der Sicherheitsdienstleister iDefense berichtet in einem Advisory von der Möglichkeit, den gesamten Speicher eines Servers durch Erzeugen einer großen Zahl von Socket-Paaren mit dem jeweils größtmöglichen Kernel-Buffer zu belegen. In der Folge reagiere das System nicht mehr und müsse neu gestartet werden. iDefense räumt ein, dass Systeme mit sehr viel Speicher nicht aus dem Tritt geraten; Näheres nennt das Advisory aber nicht. Anzeige
Ursache des Problems ist die fehlende Prüfung der verfügbaren Ressourcen beim Puffern der Daten vor der Übertragung über die Sockets. Für eine erfolgreiche DoS-Attacke muss der Angreifer aber am System angemeldet sein. Der Fehler wurde in den Kernel-Versionen 2.4.22 und 2.6.12 gefunden. Vermutlich sind auch neuere Versionen betroffen, eine endgültige Bewertung steht noch aus.
Laut iDefense hat der Kernel-Maintainer das Problem ebenfalls bestätigt und als "Design Limitation" bewertet. Abhilfe soll ein Patch bringen, der die maximale Anzahl der Socket-Handler beziehungsweise File-Handler pro Anwender limitiert. Eine Anleitung zum Patch ist im iDefense-Advisory zu finden. Ob der Patch auch bereits in die Kernel-Versionen 2.6.14.4 und 2.4.32 Eingang gefunden hat, ist derzeit unklar.
(dab/c't)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/67760
Gr33ts
@Jacki:agl: