Unscheinbar, aber gefährlich:
netmask übersetzt IPv4-Adressen falsch
Manche Sicherheits-Probleme kommen nicht durch Programmierfehler zustande, sondern schlicht dadurch, dass sich bestimmte Komponenten anders verhalten, als es eigentlich vorgesehen ist. Das betrifft aktuell eine der wichtigsten Netzwerk-Bibliotheken.
Eine Gruppe von Sicherheitsforschern hat gemeinsam auf das Problem in der netmask-Library aufmerksam gemacht. Diese dürfte kaum einem normalen Nutzer ein Begriff sein. Sie wird allerdings als externe Komponente in sehr vielen Anwendungen, die über Netzwerke kommunizieren, eingebunden. Allein auf der Entwickler-Plattform GitHub finden sich 278.000 Projekte, die von der Library abhängig sind.
Obwohl diese seit langer Zeit nahezu schon einen Standard für die Verarbeitung von IPv4-Adressen darstellt, setzt sie ihre Aufgabe nicht ganz korrekt im Sinne der Spezifikationen um. Und das kann eben zu Problemen führen, die sicherheitsrelevant sind. Daher wurde die ganze Angelegenheit unter der Kennung CVE-2021-28918 in die Schwachstellen-Datenbanken aufgenommen, wie BleepingComputer berichtet.
Chrome übersetzt oktale IP-Adressen korrekt
IPv4-Adressen können nämlich keineswegs nur in der dezimalen Darstellung geschrieben werden. Die 127.0.0.1, die immer auf das lokale System verweist, kennen beispielsweise die meisten Nutzer. In den IPV4-Spezifikationen ist aber auch vorgesehen, dass genauso gut andere Zahlensysteme genutzt werden können. Entsprechend führt eine vorangestellte Null dazu, dass 0127.0.0.1 als oktale Schreibweise angesehen wird - übersetzt ins Dezimalsystem würde es sich also um die IP-Adresse 87.0.0.1 handeln.
Im einfachsten Fall fragt eine Software für die Risikoanalyse bei netmask nach der korrekten IP-Formatierung und bekommt eben die 127.0.0.1 zurückgeliefert. Da es sich um das lokale System handelt, würde es dann keine Bedenken geben, von hier Code zu laden und auszuführen. Wenn das geprüfte Programm dann aber mit Komponenten arbeitet, die gemäß den Spezifikationen funktionieren, würde der Code von einer externen IP-Adresse geladen, die vielleicht einem bösartigen Angreifer gehört.
In ähnlicher Form sind auch diverse andere Kombinationen möglich, mit denen plötzlich nicht vertrauenswürdige Adressen als sicher eingestuft werden könnten. Auch bestimmte Filtersysteme könnten sich so umgehen lassen - wie etwa Firewalls, die den externen Zugang zu kritischen Infrastrukturen regeln. Eine korrigierte Version von netmask wurde von den Entwicklern bereits bereitgestellt, es kann aber geraume Zeit dauern, bis diese auch in alle darauf aufbauenden Software-Projekte eingeflossen ist.
Obwohl diese seit langer Zeit nahezu schon einen Standard für die Verarbeitung von IPv4-Adressen darstellt, setzt sie ihre Aufgabe nicht ganz korrekt im Sinne der Spezifikationen um. Und das kann eben zu Problemen führen, die sicherheitsrelevant sind. Daher wurde die ganze Angelegenheit unter der Kennung CVE-2021-28918 in die Schwachstellen-Datenbanken aufgenommen, wie BleepingComputer berichtet.
Chrome übersetzt oktale IP-Adressen korrekt
IPv4-Adressen können nämlich keineswegs nur in der dezimalen Darstellung geschrieben werden. Die 127.0.0.1, die immer auf das lokale System verweist, kennen beispielsweise die meisten Nutzer. In den IPV4-Spezifikationen ist aber auch vorgesehen, dass genauso gut andere Zahlensysteme genutzt werden können. Entsprechend führt eine vorangestellte Null dazu, dass 0127.0.0.1 als oktale Schreibweise angesehen wird - übersetzt ins Dezimalsystem würde es sich also um die IP-Adresse 87.0.0.1 handeln.
Filter umgehen
Die netmask-Library ignoriert die Festlegung in den Spezifikationen allerdings - was bisher nicht auffiel, da es wahrscheinlich schlicht niemanden gibt, der bei IP-Adressen mit anderen Zahlensystemen als dem Dezimalen agiert. Überlässt man nun also netmask das Parsen der Adresse, wird die vorangestellte Null einfach ignoriert. Und genau das kann im Zusammenspiel mit anderen Software-Komponenten, die regelgerecht mit den Adressen umgehen, zu erheblichen Problemen führen.Im einfachsten Fall fragt eine Software für die Risikoanalyse bei netmask nach der korrekten IP-Formatierung und bekommt eben die 127.0.0.1 zurückgeliefert. Da es sich um das lokale System handelt, würde es dann keine Bedenken geben, von hier Code zu laden und auszuführen. Wenn das geprüfte Programm dann aber mit Komponenten arbeitet, die gemäß den Spezifikationen funktionieren, würde der Code von einer externen IP-Adresse geladen, die vielleicht einem bösartigen Angreifer gehört.
In ähnlicher Form sind auch diverse andere Kombinationen möglich, mit denen plötzlich nicht vertrauenswürdige Adressen als sicher eingestuft werden könnten. Auch bestimmte Filtersysteme könnten sich so umgehen lassen - wie etwa Firewalls, die den externen Zugang zu kritischen Infrastrukturen regeln. Eine korrigierte Version von netmask wurde von den Entwicklern bereits bereitgestellt, es kann aber geraume Zeit dauern, bis diese auch in alle darauf aufbauenden Software-Projekte eingeflossen ist.
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen