2017-0076: IPv6-Protokoll: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-01-16 18:10)

Neues Advisory

Version 2 (2017-04-13 12:34)

Juniper veröffentlicht eine Sicherheitsmeldung für Junos OS und bestätigt die Betroffenheit gegenüber dieser Schwachstelle. Juniper stellt zur Behebung die Versionen Junos OS 12.3X48-D50, 14.1R8-S3, 14.1R9, 14.2R7-S6, 14.2R8, 15.1F2-S16, 15.1F6-S5, 15.1R4-S7, 15.1R5-S2, 15.1R6, 15.1X49-D80, 16.1R3-S3, 16.1R4-S1, 16.1R5, 16.2R1-S3, 16.2R2, 17.1R1 und 17.2R1 bereit, welche nun der Empfehlung 'RFC 8021 Section 4' folgen, wodurch PTB-Nachrichten ignoriert werden, es sei denn Junos OS wird explizit dafür konfiguriert.

Version 3 (2017-04-21 18:08)

Juniper aktualisiert seine Sicherheitsmeldung und ersetzt die als Sicherheitsupdate angegebene Version Junos OS 15.1R4-S7 durch die Version 15.1F5-S7.

Version 4 (2017-05-03 14:11)

Juniper aktualisiert seine Sicherheitsmeldung und benennt zusätzlich die Junos OS Versionen 14.1X53-D43, 15.1F7-S1, 15.1R4-S7 und 15.1X53-D231 als Sicherheitsupdates.

Version 5 (2017-08-11 17:54)

Juniper aktualisiert seine Sicherheitsmeldung JSA10780 und ergänzt die Junos OS Versionen 11.4R13-S4, 12.1X46-D67, 14.1X53-D121, 14.2R4-S8, 15.1X53-D57, 15.1X53-D64 und 15.1X53-D70 als Sicherheitsupdates zur Behebung der Schwachstelle CVE-2016-10142.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cisco
FortiNet
IBM
Juniper
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten ICMPv6-Nachricht einen Denial-of-Service-Angriff auch auf die Kommunikation zwischen Hosts durchführen, die gegen Denial-of-Service-Angriffe mit Hilfe fragmentierter Pakete gehärtet sind. Solch ein Angriff ist möglich, wenn die Kommunikation durch einen Zwischenknoten derart gefiltert wird, dass Pakete, die Erweiterungskopfdaten enthalten (Extension Headers, zu denen auch Fragmentierungen gehören), nicht weitergeleitet werden. Diese Art der Filterung ist weit verbreitet. Der Angreifer kann in diesem Fall durch Versenden einer ICMPv6 'Packet Too Big' (PTB) Nachricht die Erzeugung fragmentierter Pakete auf einem Hostsystem erzwingen, wodurch die folgende Kommunikation aufgrund des Filters im Zwischenknoten verworfen wird. Ein ähnlicher Angriff ist möglich, wenn zwei Border Gateway Protocol (BGP)-Peers Zugangskontrollisten (Access Control Lists, ACLs) zur Verwerfung von IPv6-Paketen verwenden, um Control-Plane-Angriffe zu vermeiden. Durch Senden der PTB-Nachricht wird in diesem Fall der Datenverkehr von den Routern selbst verworfen. Weitere Angriffe im gleichen Kontext sind denkbar.

Im Request for Comments (RFC) 8021 werden die möglichen neuen Angriffsvektoren durch Paketfragmentierung im IPv6-Protokoll dargestellt. Die Empfehlung der Internet Engineering Task Force (IETF) ist, diese Funktionalität aus der nächsten Version der IPv6-Protokoll-Spezifizierung RFC 2460 zu entfernen.

Im Speziellen sollen IPv4/IPv6-Übersetzer keine ICMPv6-PTB-Fehlermeldungen mit einem MTU-Wert kleiner als 1280 Bytes mehr generieren, so dass IPv6-Knoten zu keiner Zeit mehr einen Grund erhalten, IPv6 'atomic fragments' zu erstellen. Darüber hinaus sollen IPv6-Knoten entsprechende PTB-Nachrichten als ungültig betrachten und ignorieren.

Die Hersteller netzwerkfähiger Geräte mit IPv6-Unterstützung haben sich bislang noch nicht geäußert, welche Produkte von dieser Schwachstelle betroffen sind. Da die Schwachstelle aber in dem Protokoll IPv6 selbst begründet liegt, ist davon auszugehen, dass nicht betroffene Produkte eher die Ausnahme als die Regel darstellen.

Schwachstellen:

CVE-2016-10142

Schwachstelle in IPv6-Protokoll ermöglicht Denial-of-Service-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.