Re: keine updates/patches für lokale DoS-Lücken?

World of Replica <wor(at)hispeed.ch> wrote:
> ich habe letztens gelesen, dass das freebsd-team keine patches für lokale
> DoS lücken rausbringt. entspricht das der wahrheit?
>
> wenn ja muss ich mir gedanken machen freebsd weiter zu nutzen.

Nachdem andere bereits auf die Formalfehler aufmerksam
gemacht haben, wende ich mich mal der eigentlichen Frage
zu. :-)

Die folgenden Darstellungen sind nicht FreeBSD-spezifisch
und gelten im Prinzip für jedes beliebige OS.

Zunächst mal muss man sich überlegen, was denn genau eine
»lokale DoS-Lücke« ist. Das ist nichts weiter als die
Möglichkeit, dass ein lokaler Benutzer (also einer mit
Shell-Account) so viele Resourcen bindet, dass andere
Benutzer oder Dienste in Mitleidenschaft gezogen werden
(auch »Resource Exhaustion« genannt).

Die bekannte »Fork-Bombe« wäre so ein lokaler DoS-Angriff,
der dazu führt, dass sowohl CPU-Zeit als auch Slots in der
Process-table beansprucht werden und anderen Benutzern
nicht mehr zur Verfügung stehen. Eine andere Möglichkeit
sind Programme, die endlos Dateien öffnen, ohne sie zu
schließen, wodurch irgendwann die File-descriptors zur
Neige gehen. Oder einfach die Festplatte vollschreiben.

Solchen Dingen ist nur sehr schwer beizukommen. Es gibt
zwar gewisse »Hacks« (z.B. Exponential-backoff bei fork(),
d.h. je öfter ein Benutzer in kurzer Zeit die fork()-Funk-
tion verwendet, desto mehr »Zwangspause« bekommt er dabei
verpasst). Aber damit werden auch legale Anwendungen in
Mitleidenschaft gezogen. Die Grenzen zwischen vorüberge-
hender (aber legaler) starker Beanspruchung von Resourcen
und einem gewollten Angriff sind fließend und können nicht
irgendwo willkürlich festgemacht werden. Daher mischt
sich das OS da meistens nicht ein (außer an Stellen, wo
ein Missbrauch eindeutig ist). Stattdessen werden dem
Administrator Hilfsmittel an die Hand gegeben, um selbst
zu entscheiden, wie System-Resource begrenzt werden können,
so dass nirgendwo etwas aus dem Ruder laufen kann, ohne
dass legale Anwendungen mehr als nötig beeinträchtigt
werden. Das sind z.B. die System-Limits (siehe limits(1)),
Disk-Quotas usw. Wenn es hart auf hart kommt, kann man
»kritische« Benutzer oder Dienste auch in virtuelle Ma-
schinen verbannen (z.B. qemu, vmware, xen, vkernel).

Jetzt sollte eigentlich klar sein, dass man für solche
»Lücken« nicht einfach einen Patch herausbringen kann.
Das ist in den meisten Fällen schlicht nicht möglich, und
daher macht das FreeBSD-Security-Team auch keine solchen
Versprechungen -- das wäre nämlich unseriös. _Wenn_ es in
einem konkreten Fall eine Möglichkeit gibt, dass das OS
etwas wirkungsvolles unternehmen kann (und sei es nur, dem
Admin ein zusätzliches Hilfsmittel an die Hand zu geben),
dann wird selbstverständlich versucht, eine entsprechende
Lösung zur Verfügung zu stellen.

Nur um's nochmal ganz klar zu betonen: Bei solchen
»Lücken« handelt es sich im allgemeinen _nicht_ um Sicher-
heitsprobleme, durch die Benutzer Rechte erlangen können,
die sie nicht haben dürfen.

Häufig werden auch Lücken als »DoS-Lücken« bezeichnet, bei
denen z.B. ein lokaler Benutzer aufgrund einer Lücke unbe-
rechtigterweise einen Prozess lahmlegen kann, der ihm nicht
gehört (ohne dass ein Resourcenengpass vorliegt). Das ist
falsch. Der Angriff mag einen DoS-Effekt haben, aber bei
so einer Lücke handelt es sich ganz klar um eine Privilege-
escalation aufgrund eines Bugs o.ä., nicht aber um eine
reine DoS-Lücke. Für solche Lücken werden selbstverständ-
lich so schnell wie möglich Patches herausgebracht.

Soweit mir bekannt, unterscheidet sich in der Hinsicht die
Security-Patch-Policy von FreeBSD nicht von der der anderen
BSDs (oder der meisten anderen Betriebssysteme). Wenn Du
also die Sache zum Anlass nimmst, FreeBSD nicht mehr weiter
verwenden zu wollen, dann düftest Du auch kein anderes OS
mehr benutzen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Clear perl code is better than unclear awk code; but NOTHING
comes close to unclear perl code"  (taken from comp.lang.awk FAQ)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message