Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0076 IPv6-Protokoll: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][Apple][FreeBSD][NetBSD][OpenBSD][Solaris][Windows][VMware][Netzwerk][Cisco]

11.08.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (11.08.2017):
Juniper aktualisiert seine Sicherheitsmeldung JSA10780 und ergänzt die
Junos OS Versionen 11.4R13-S4, 12.1X46-D67, 14.1X53-D121, 14.2R4-S8,
15.1X53-D57, 15.1X53-D64 und 15.1X53-D70 als Sicherheitsupdates zur
Behebung der Schwachstelle CVE-2016-10142.
Version 4 (03.05.2017):
Juniper aktualisiert seine Sicherheitsmeldung und benennt zusätzlich die
Junos OS Versionen 14.1X53-D43, 15.1F7-S1, 15.1R4-S7 und 15.1X53-D231 als
Sicherheitsupdates.
Version 3 (21.04.2017):
Juniper aktualisiert seine Sicherheitsmeldung und ersetzt die als
Sicherheitsupdate angegebene Version Junos OS 15.1R4-S7 durch die Version
15.1F5-S7.
Version 2 (13.04.2017):
Juniper veröffentlicht eine Sicherheitsmeldung für Junos OS und bestätigt
die Betroffenheit gegenüber dieser Schwachstelle. Juniper stellt zur
Behebung die Versionen Junos OS 12.3X48-D50, 14.1R8-S3, 14.1R9, 14.2R7-S6,
14.2R8, 15.1F2-S16, 15.1F6-S5, 15.1R4-S7, 15.1R5-S2, 15.1R6, 15.1X49-D80,
16.1R3-S3, 16.1R4-S1, 16.1R5, 16.2R1-S3, 16.2R2, 17.1R1 und 17.2R1 bereit,
welche nun der Empfehlung 'RFC 8021 Section 4' folgen, wodurch
PTB-Nachrichten ignoriert werden, es sei denn Junos OS wird explizit dafür
konfiguriert.
Version 1 (16.01.2017):
Neues Advisory

Betroffene Software:

Internet Protocol Version 6 (IPv6)


Betroffene Plattformen:

Apple Mac OS X
macOS Sierra
Unix
Cisco IOS
Debian Linux
FortiOS
FreeBSD
GNU/Linux
IBM AIX
Juniper Junos OS < 11.4R13-S4
Juniper Junos OS < 12.1X46-D67
Juniper Junos OS < 12.3X48-D50
Juniper Junos OS < 14.1R8-S3
Juniper Junos OS < 14.1R9
Juniper Junos OS < 14.1X53-D43
Juniper Junos OS < 14.1X53-D121
Juniper Junos OS < 14.2R4-S8
Juniper Junos OS < 14.2R7-S6
Juniper Junos OS < 14.2R8
Juniper Junos OS < 15.1F2-S16
Juniper Junos OS < 15.1F5-S7
Juniper Junos OS < 15.1F6-S5
Juniper Junos OS < 15.1F7-S1
Juniper Junos OS < 15.1R4-S7
Juniper Junos OS < 15.1R5-S2
Juniper Junos OS < 15.1R6
Juniper Junos OS < 15.1X49-D80
Juniper Junos OS < 15.1X53-D57
Juniper Junos OS < 15.1X53-D64
Juniper Junos OS < 15.1X53-D70
Juniper Junos OS < 15.1X53-D231
Juniper Junos OS < 16.1R3-S3
Juniper Junos OS < 16.1R4-S1
Juniper Junos OS < 16.1R5
Juniper Junos OS < 16.2R1-S3
Juniper Junos OS < 16.2R2
Juniper Junos OS < 17.1R1
Juniper Junos OS < 17.2R1
Microsoft Windows
NetBSD
SUSE Linux
OpenBSD
Oracle Linux 6
Oracle Solaris
Red Hat Enterprise Linux
Red Hat Fedora
VMware ESX



Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten ICMPv6-Nachricht einen Denial-of-Service-Angriff auch
auf die Kommunikation zwischen Hosts durchführen, die gegen
Denial-of-Service-Angriffe mit Hilfe fragmentierter Pakete gehärtet sind.
Solch ein Angriff ist möglich, wenn die Kommunikation durch einen
Zwischenknoten derart gefiltert wird, dass Pakete, die Erweiterungskopfdaten
enthalten (Extension Headers, zu denen auch Fragmentierungen gehören), nicht
weitergeleitet werden. Diese Art der Filterung ist weit verbreitet. Der
Angreifer kann in diesem Fall durch Versenden einer ICMPv6 'Packet Too Big'
(PTB) Nachricht die Erzeugung fragmentierter Pakete auf einem Hostsystem
erzwingen, wodurch die folgende Kommunikation aufgrund des Filters im
Zwischenknoten verworfen wird. Ein ähnlicher Angriff ist möglich, wenn zwei
Border Gateway Protocol (BGP)-Peers Zugangskontrollisten (Access Control
Lists, ACLs) zur Verwerfung von IPv6-Paketen verwenden, um
Control-Plane-Angriffe zu vermeiden. Durch Senden der PTB-Nachricht wird in
diesem Fall der Datenverkehr von den Routern selbst verworfen. Weitere
Angriffe im gleichen Kontext sind denkbar.

Im Request for Comments (RFC) 8021 werden die möglichen neuen
Angriffsvektoren durch Paketfragmentierung im IPv6-Protokoll dargestellt.
Die Empfehlung der Internet Engineering Task Force (IETF) ist, diese
Funktionalität aus der nächsten Version der IPv6-Protokoll-Spezifizierung
RFC 2460 zu entfernen.

Im Speziellen sollen IPv4/IPv6-Übersetzer keine ICMPv6-PTB-Fehlermeldungen
mit einem MTU-Wert kleiner als 1280 Bytes mehr generieren, so dass
IPv6-Knoten zu keiner Zeit mehr einen Grund erhalten, IPv6 'atomic
fragments' zu erstellen. Darüber hinaus sollen IPv6-Knoten entsprechende
PTB-Nachrichten als ungültig betrachten und ignorieren.

Die Hersteller netzwerkfähiger Geräte mit IPv6-Unterstützung haben sich
bislang noch nicht geäußert, welche Produkte von dieser Schwachstelle
betroffen sind. Da die Schwachstelle aber in dem Protokoll IPv6 selbst
begründet liegt, ist davon auszugehen, dass nicht betroffene Produkte eher
die Ausnahme als die Regel darstellen.


Patch:

Juniper Security Advisory JSA10780 (CVE-2016-10142)

<https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&cat=SIRT_1&actp=LIST>


CVE-2016-10142: Schwachstelle in IPv6-Protokoll ermöglicht
Denial-of-Service-Angriffe

Die IPv6-Spezifikation erlaubt, dass Pakete Fragmentierungs-Kopfdaten
(Fragment Header) erhalten, ohne wirklich in verschiedene Teile geteilt zu
sein. Die einzelnen Pakete werden als 'atomic fragments' bezeichnet. Solche
Pakete werden von Hosts gesendet, die die ICMPv6-Fehlermeldung 'Packet Too
Big' (PTB) erhalten haben, mit der auf eine 'Next-Hop MTU' (Maximum
Transmission Unit) kleiner als 1280 hingewiesen wird. Dies ist die kleinste
für IPv6 vorgesehene MTU. Die nachfolgend gesendeten Pakete enthalten dann
Fragment-Kopfdaten und einen Offset. Zusätzlich ist das M-Flag auf den Wert
1 gesetzt, um die Existenz folgender fragmentierter Teil-Pakete
anzukündigen.

Diese Pakete können so generiert werden, dass sie für
Denial-of-Service-Angriffe gegen Knoten, die RFC 6946 (Processing of IPv6
'Atomic' Fragments) nicht umsetzen, eingesetzt werden können. Neue
Untersuchungen haben bestätigt, dass auch Knoten, die RFC 6946
implementieren, für Denial-of-Service-Angriffe anfällig sind.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0076/>

IPv6 Maintenance Working Group Draft: Generation of IPv6 Atomic Fragments
Considered Harmful:
<https://tools.ietf.org/html/draft-ietf-6man-deprecate-atomfrag-generation-08>

RFC 2460: Internet Protocol, Version 6 (IPv6) - Specification:
<https://tools.ietf.org/html/rfc2460>

RFC 6946: Processing of IPv6 'Atomic' Fragments:
<https://tools.ietf.org/html/rfc6946>

RFC 8021: Generation of IPv6 Atomic Fragments Considered Harmful:
<https://tools.ietf.org/html/rfc8021>

Schwachstelle CVE-2016-10142 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10142>

Juniper Security Advisory JSA10780 (CVE-2016-10142):
<https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&cat=SIRT_1&actp=LIST>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.