AW: keine updates/patches für lokale DoS-Lücken?

From: World of Replica <wor(at)hispeed.ch>
Date: Wed, 4 Apr 2007 09:50:32 +0200

herzlichen dank für die ernsthaften antworten.

Ps.: manche haben einfach zuviel zeit um sich über sinnloses aufzuregen es
ist sooo süss.

-----Ursprüngliche Nachricht-----
Von: Oliver Fromme [mailto:olli(at)lurza.secnetix.de]
Gesendet: Mittwoch, 4. April 2007 09:44
An: de-bsd-questions(at)de.freebsd.org; wor(at)hispeed.ch
Betreff: Re: keine updates/patches für lokale DoS-Lücken?

World of Replica <wor(at)hispeed.ch> wrote:
> ich habe letztens gelesen, dass das freebsd-team keine patches für lokale
> DoS lücken rausbringt. entspricht das der wahrheit?
>
> wenn ja muss ich mir gedanken machen freebsd weiter zu nutzen.

Nachdem andere bereits auf die Formalfehler aufmerksam gemacht haben, wende
ich mich mal der eigentlichen Frage zu. :-)

Die folgenden Darstellungen sind nicht FreeBSD-spezifisch und gelten im
Prinzip für jedes beliebige OS.

Zunächst mal muss man sich überlegen, was denn genau eine »lokale DoS-Lücke«
ist. Das ist nichts weiter als die Möglichkeit, dass ein lokaler Benutzer
(also einer mit
Shell-Account) so viele Resourcen bindet, dass andere Benutzer oder Dienste
in Mitleidenschaft gezogen werden (auch »Resource Exhaustion« genannt).

Die bekannte »Fork-Bombe« wäre so ein lokaler DoS-Angriff, der dazu führt,
dass sowohl CPU-Zeit als auch Slots in der Process-table beansprucht werden
und anderen Benutzern nicht mehr zur Verfügung stehen. Eine andere
Möglichkeit sind Programme, die endlos Dateien öffnen, ohne sie zu
schließen, wodurch irgendwann die File-descriptors zur Neige gehen. Oder
einfach die Festplatte vollschreiben.

Solchen Dingen ist nur sehr schwer beizukommen. Es gibt zwar gewisse
»Hacks« (z.B. Exponential-backoff bei fork(), d.h. je öfter ein Benutzer in
kurzer Zeit die fork()-Funk- tion verwendet, desto mehr »Zwangspause«
bekommt er dabei verpasst). Aber damit werden auch legale Anwendungen in
Mitleidenschaft gezogen. Die Grenzen zwischen vorüberge- hender (aber
legaler) starker Beanspruchung von Resourcen und einem gewollten Angriff
sind fließend und können nicht irgendwo willkürlich festgemacht werden.
Daher mischt sich das OS da meistens nicht ein (außer an Stellen, wo ein
Missbrauch eindeutig ist). Stattdessen werden dem Administrator Hilfsmittel
an die Hand gegeben, um selbst zu entscheiden, wie System-Resource begrenzt
werden können, so dass nirgendwo etwas aus dem Ruder laufen kann, ohne dass
legale Anwendungen mehr als nötig beeinträchtigt werden. Das sind z.B. die
System-Limits (siehe limits(1)), Disk-Quotas usw. Wenn es hart auf hart
kommt, kann man »kritische« Benutzer oder Dienste auch in virtuelle Ma-
schinen verbannen (z.B. qemu, vmware, xen, vkernel).

Jetzt sollte eigentlich klar sein, dass man für solche »Lücken« nicht
einfach einen Patch herausbringen kann.
Das ist in den meisten Fällen schlicht nicht möglich, und daher macht das
FreeBSD-Security-Team auch keine solchen Versprechungen -- das wäre nämlich
unseriös. _Wenn_ es in einem konkreten Fall eine Möglichkeit gibt, dass das
OS etwas wirkungsvolles unternehmen kann (und sei es nur, dem Admin ein
zusätzliches Hilfsmittel an die Hand zu geben), dann wird selbstverständlich
versucht, eine entsprechende Lösung zur Verfügung zu stellen.

Nur um's nochmal ganz klar zu betonen: Bei solchen »Lücken« handelt es sich
im allgemeinen _nicht_ um Sicher- heitsprobleme, durch die Benutzer Rechte
erlangen können, die sie nicht haben dürfen.

Häufig werden auch Lücken als »DoS-Lücken« bezeichnet, bei denen z.B. ein
lokaler Benutzer aufgrund einer Lücke unbe- rechtigterweise einen Prozess
lahmlegen kann, der ihm nicht gehört (ohne dass ein Resourcenengpass
vorliegt). Das ist falsch. Der Angriff mag einen DoS-Effekt haben, aber
bei so einer Lücke handelt es sich ganz klar um eine Privilege- escalation
aufgrund eines Bugs o.ä., nicht aber um eine reine DoS-Lücke. Für solche
Lücken werden selbstverständ- lich so schnell wie möglich Patches
herausgebracht.

Soweit mir bekannt, unterscheidet sich in der Hinsicht die
Security-Patch-Policy von FreeBSD nicht von der der anderen BSDs (oder der
meisten anderen Betriebssysteme). Wenn Du also die Sache zum Anlass nimmst,
FreeBSD nicht mehr weiter verwenden zu wollen, dann düftest Du auch kein
anderes OS mehr benutzen.

Gruß
   Olli

--
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Clear perl code is better than unclear awk code; but NOTHING comes close to
unclear perl code"  (taken from comp.lang.awk FAQ)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 04 Apr 2007 - 09:51:37 CEST

search this site