Entfernte Sicherheitsanfälligkeit im IPv6-Stack von OpenBSD

Im Hintergrundprozess slaacd, der in OpenBSD für die automatische Konfiguration von IPv6-Adressen (IPv6 Stateless Address Autoconfiguration, RFC 4862) zuständig ist, wurde eine Sicherheitsanfälligkeit entdeckt, die zu einem Pufferüberlauf führt, wenn eine speziell gestaltete IPv6-Router-Anzeige (RA, Router Advertisement) empfangen wird.

Ursprünglich wurde die Funktionalität zur automatischen Adresskonfiguration von IPv6 auf Kernel-Ebene implementiert, jedoch wurde sie seit OpenBSD 6.2 in einen separaten unprivilegierten Prozess, slaacd, ausgelagert. Dieser Prozess ist verantwortlich für das Senden von Router-Anfragen (RS, Router Solicitation) und das Auswerten der Antworten (RA, Router Advertisement) mit Informationen über den Router und Netzwerkkonfigurationsparameter.

Im Februar wurde ein Fehler in slaacd behoben, der zu einem Absturz führte, wenn 7 Server im RDNSS (Recursive DNS Servers)-Liste angegeben wurde. Diese Unzulänglichkeit erregte die Aufmerksamkeit unabhängiger Forscher, die den Code von slaacd auf andere Fehler untersuchten, die bei der Auswertung der Felder in den RA-Nachrichten auftreten. Die Analyse ergab, dass im Code ein weiteres Problem besteht, das sich bei der Verarbeitung des DNSSL-Feldes (DNS Search List) zeigt, das Listen von Domainnamen und Hostmuster für DNS umfasst.

Jeder Name in der DNSSL-Liste wird mit einem Null-Byte-Trennzeichen und einem Zwischen-Byte-Label kodiert, das die Größe der nachfolgenden Daten definiert. Die Schwachstelle entsteht dadurch, dass im Code zur Analyse der Liste das Größenfeld in eine Variable mit dem signierten Datentyp Integer kopiert wird ("len = data[pos]"). Folglich wird ein Wert mit gesetztem höchstem Bit im Bedingungsoperator als negative Zahl interpretiert, wodurch die Überprüfung der maximalen zulässigen Größe ("if (len > 63 || len + pos + 1 > datalen) {") nicht funktioniert und der Aufruf von memcpy mit einem Parameter erfolgt, bei dem die Größe der zu kopierenden Daten den Puffer überschreitet.

Entfernte Sicherheitsanfälligkeit im IPv6-Stack von OpenBSD
Entfernte Sicherheitsanfälligkeit im IPv6-Stack von OpenBSD


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster