DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-0076: IPv6-Protokoll: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie

Version 1 (2017-01-16 17:10)
Neues Advisory
Version 2 (2017-04-13 10:34)
Juniper veröffentlicht eine Sicherheitsmeldung für Junos OS und bestätigt die Betroffenheit gegenüber dieser Schwachstelle. Juniper stellt zur Behebung die Versionen Junos OS 12.3X48-D50, 14.1R8-S3, 14.1R9, 14.2R7-S6, 14.2R8, 15.1F2-S16, 15.1F6-S5, 15.1R4-S7, 15.1R5-S2, 15.1R6, 15.1X49-D80, 16.1R3-S3, 16.1R4-S1, 16.1R5, 16.2R1-S3, 16.2R2, 17.1R1 und 17.2R1 bereit, welche nun der Empfehlung 'RFC 8021 Section 4' folgen, wodurch PTB-Nachrichten ignoriert werden, es sei denn Junos OS wird explizit dafür konfiguriert.
Version 3 (2017-04-21 16:08)
Juniper aktualisiert seine Sicherheitsmeldung und ersetzt die als Sicherheitsupdate angegebene Version Junos OS 15.1R4-S7 durch die Version 15.1F5-S7.
Version 4 (2017-05-03 12:11)
Juniper aktualisiert seine Sicherheitsmeldung und benennt zusätzlich die Junos OS Versionen 14.1X53-D43, 15.1F7-S1, 15.1R4-S7 und 15.1X53-D231 als Sicherheitsupdates.
Version 5 (2017-08-11 15:54)
Juniper aktualisiert seine Sicherheitsmeldung JSA10780 und ergänzt die Junos OS Versionen 11.4R13-S4, 12.1X46-D67, 14.1X53-D121, 14.2R4-S8, 15.1X53-D57, 15.1X53-D64 und 15.1X53-D70 als Sicherheitsupdates zur Behebung der Schwachstelle CVE-2016-10142.

Betroffene Software

Internet Protocol Version 6 (IPv6)

Betroffene Plattformen

Apple Mac OS X
macOS Sierra
Unix
Cisco IOS
Debian Linux
FortiOS
FreeBSD
GNU/Linux
IBM AIX
Juniper Junos OS < 11.4R13-S4
Juniper Junos OS < 12.1X46-D67
Juniper Junos OS < 12.3X48-D50
Juniper Junos OS < 14.1R8-S3
Juniper Junos OS < 14.1R9
Juniper Junos OS < 14.1X53-D43
Juniper Junos OS < 14.1X53-D121
Juniper Junos OS < 14.2R4-S8
Juniper Junos OS < 14.2R7-S6
Juniper Junos OS < 14.2R8
Juniper Junos OS < 15.1F2-S16
Juniper Junos OS < 15.1F5-S7
Juniper Junos OS < 15.1F6-S5
Juniper Junos OS < 15.1F7-S1
Juniper Junos OS < 15.1R4-S7
Juniper Junos OS < 15.1R5-S2
Juniper Junos OS < 15.1R6
Juniper Junos OS < 15.1X49-D80
Juniper Junos OS < 15.1X53-D57
Juniper Junos OS < 15.1X53-D64
Juniper Junos OS < 15.1X53-D70
Juniper Junos OS < 15.1X53-D231
Juniper Junos OS < 16.1R3-S3
Juniper Junos OS < 16.1R4-S1
Juniper Junos OS < 16.1R5
Juniper Junos OS < 16.2R1-S3
Juniper Junos OS < 16.2R2
Juniper Junos OS < 17.1R1
Juniper Junos OS < 17.2R1
Microsoft Windows
NetBSD
SUSE Linux
OpenBSD
Oracle Linux 6
Oracle Solaris
Red Hat Enterprise Linux
Red Hat Fedora
VMware ESX

Lösung

Patch

Juniper Security Advisory JSA10780 (CVE-2016-10142)

Beschreibung

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten ICMPv6-Nachricht einen Denial-of-Service-Angriff auch auf die Kommunikation zwischen Hosts durchführen, die gegen Denial-of-Service-Angriffe mit Hilfe fragmentierter Pakete gehärtet sind. Solch ein Angriff ist möglich, wenn die Kommunikation durch einen Zwischenknoten derart gefiltert wird, dass Pakete, die Erweiterungskopfdaten enthalten (Extension Headers, zu denen auch Fragmentierungen gehören), nicht weitergeleitet werden. Diese Art der Filterung ist weit verbreitet. Der Angreifer kann in diesem Fall durch Versenden einer ICMPv6 'Packet Too Big' (PTB) Nachricht die Erzeugung fragmentierter Pakete auf einem Hostsystem erzwingen, wodurch die folgende Kommunikation aufgrund des Filters im Zwischenknoten verworfen wird. Ein ähnlicher Angriff ist möglich, wenn zwei Border Gateway Protocol (BGP)-Peers Zugangskontrollisten (Access Control Lists, ACLs) zur Verwerfung von IPv6-Paketen verwenden, um Control-Plane-Angriffe zu vermeiden. Durch Senden der PTB-Nachricht wird in diesem Fall der Datenverkehr von den Routern selbst verworfen. Weitere Angriffe im gleichen Kontext sind denkbar.

Im Request for Comments (RFC) 8021 werden die möglichen neuen Angriffsvektoren durch Paketfragmentierung im IPv6-Protokoll dargestellt. Die Empfehlung der Internet Engineering Task Force (IETF) ist, diese Funktionalität aus der nächsten Version der IPv6-Protokoll-Spezifizierung RFC 2460 zu entfernen.

Im Speziellen sollen IPv4/IPv6-Übersetzer keine ICMPv6-PTB-Fehlermeldungen mit einem MTU-Wert kleiner als 1280 Bytes mehr generieren, so dass IPv6-Knoten zu keiner Zeit mehr einen Grund erhalten, IPv6 'atomic fragments' zu erstellen. Darüber hinaus sollen IPv6-Knoten entsprechende PTB-Nachrichten als ungültig betrachten und ignorieren.

Die Hersteller netzwerkfähiger Geräte mit IPv6-Unterstützung haben sich bislang noch nicht geäußert, welche Produkte von dieser Schwachstelle betroffen sind. Da die Schwachstelle aber in dem Protokoll IPv6 selbst begründet liegt, ist davon auszugehen, dass nicht betroffene Produkte eher die Ausnahme als die Regel darstellen.

Schwachstellen

CVE-2016-10142: Schwachstelle in IPv6-Protokoll ermöglicht Denial-of-Service-Angriffe

Die IPv6-Spezifikation erlaubt, dass Pakete Fragmentierungs-Kopfdaten (Fragment Header) erhalten, ohne wirklich in verschiedene Teile geteilt zu sein. Die einzelnen Pakete werden als 'atomic fragments' bezeichnet. Solche Pakete werden von Hosts gesendet, die die ICMPv6-Fehlermeldung 'Packet Too Big' (PTB) erhalten haben, mit der auf eine 'Next-Hop MTU' (Maximum Transmission Unit) kleiner als 1280 hingewiesen wird. Dies ist die kleinste für IPv6 vorgesehene MTU. Die nachfolgend gesendeten Pakete enthalten dann Fragment-Kopfdaten und einen Offset. Zusätzlich ist das M-Flag auf den Wert 1 gesetzt, um die Existenz folgender fragmentierter Teil-Pakete anzukündigen.

Diese Pakete können so generiert werden, dass sie für Denial-of-Service-Angriffe gegen Knoten, die RFC 6946 (Processing of IPv6 'Atomic' Fragments) nicht umsetzen, eingesetzt werden können. Neue Untersuchungen haben bestätigt, dass auch Knoten, die RFC 6946 implementieren, für Denial-of-Service-Angriffe anfällig sind.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.