2.1 CVE-2011-5056

Patch

Der autoritative Server in MaraDNS bis 2.0.04 berechnet Hash-Werte für DNS-Daten, ohne die Möglichkeit einzuschränken, Hash-Kollisionen vorhersehbar auszulösen, was es lokalen Benutzern ermöglichen könnte, eine Dienstverweigerung (CPU-Verbrauch) über manipulierte Datensätze in Zonendateien zu verursachen, eine andere Sicherheitslücke als CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056

Kategorien

CWE-400 : Unkontrollierter Ressourcenverbrauch
Das Produkt kontrolliert die Zuweisung und Wartung einer begrenzten Ressource nicht ordnungsgemäß, so dass ein Akteur die Menge der verbrauchten Ressourcen beeinflussen kann, was schließlich zur Erschöpfung der verfügbaren Ressourcen führt. Bestimmte automatisierte dynamische Analysetechniken können bei der Erkennung von Ressourcenerschöpfungsproblemen wirksam sein, insbesondere bei Ressourcen wie Prozessen, Speicher und Verbindungen. Die Technik kann die Erzeugung einer großen Anzahl von Anfragen an das Produkt innerhalb eines kurzen Zeitrahmens beinhalten. Fuzzing ist zwar in der Regel auf die Suche nach Low-Level-Implementierungsfehlern ausgerichtet, kann aber auch unbeabsichtigt Probleme mit der Ressourcenauslastung aufdecken. Dies kann der Fall sein, wenn der Fuzzer eine große Anzahl von Testfällen erzeugt, aber das Zielprodukt zwischen den Testfällen nicht neu startet. Wenn ein einzelner Testfall zu einem Absturz führt, dies aber nicht zuverlässig geschieht, kann die Ursache in der Unfähigkeit liegen, mit der Erschöpfung der Ressourcen umzugehen. Planen Sie Drosselungsmechanismen in die Systemarchitektur ein. Der beste Schutz besteht darin, die Menge der Ressourcen zu begrenzen, die ein nicht autorisierter Benutzer verbrauchen kann. Ein starkes Authentifizierungs- und Zugangskontrollmodell hilft, solche Angriffe von vornherein zu verhindern. Die Login-Anwendung sollte so weit wie möglich gegen DoS-Angriffe geschützt werden. Die Begrenzung des Datenbankzugriffs, z. B. durch Zwischenspeicherung von Ergebnismengen, kann dazu beitragen, den Ressourcenaufwand zu minimieren. Um das Potenzial für einen DoS-Angriff weiter einzuschränken, sollten Sie die Rate der von den Benutzern empfangenen Anfragen verfolgen und Anfragen blockieren, die einen bestimmten Schwellenwert überschreiten. Stellen Sie sicher, dass für Protokolle bestimmte Skalierungsgrenzen festgelegt sind. Stellen Sie sicher, dass alle Ausfälle bei der Ressourcenzuweisung das System in einen sicheren Zustand versetzen. Kette: Die Python-Bibliothek begrenzt nicht die Ressourcen, die zur Verarbeitung von Bildern verwendet werden, die eine sehr große Anzahl von Bändern angeben (CWE-1284), was zu übermäßigem Speicherverbrauch (CWE-789) oder einem Integer-Überlauf (CWE-190) führt. Der Go-basierte Workload-Orchestrator schränkt die Ressourcennutzung bei nicht authentifizierten Verbindungen nicht ein, was einen DoS durch Überflutung des Dienstes ermöglicht Ressourcenerschöpfung in verteilten Betriebssystemen aufgrund der ungenügenden" IGMP-Warteschlangenverwaltung, wie sie in freier Wildbahn per CISA KEV ausgenutzt wurde. Das Produkt ermöglicht es Angreifern, über eine große Anzahl von Verbindungen einen Absturz zu verursachen. Eine fehlerhafte Anfrage löst eine unkontrollierte Rekursion aus, die zur Erschöpfung des Stacks führt. Chain: Speicherleck (CWE-404) führt zur Erschöpfung der Ressourcen. Der Treiber verwendet keine maximale Breite, wenn er Funktionen im Stil von sscanf aufruft, was zu Stack-Verbrauch führt. Ein großer Integer-Wert für eine Längeneigenschaft in einem Objekt verursacht eine große Menge an Speicherzuweisung. Die Firewall für Webanwendungen verbraucht übermäßig viel Speicher, wenn eine HTTP-Anfrage einen großen Wert für die Inhaltslänge, aber keine POST-Daten enthält. Das Produkt ermöglicht die Erschöpfung von Dateideskriptoren bei der Verarbeitung einer großen Anzahl von TCP-Paketen. Das Kommunikationsprodukt ermöglicht einen hohen Speicherverbrauch bei einer großen Anzahl von SIP-Anfragen, die zum Aufbau vieler Sitzungen führen. Die TCP-Implementierung ermöglicht es Angreifern, CPU zu verbrauchen und neue Verbindungen durch einen TCP SYN-Flood-Angriff zu verhindern. Port-Scan löst CPU-Verbrauch durch Prozesse aus, die versuchen, Daten von geschlossenen Sockets zu lesen. Das Produkt ermöglicht es Angreifern, einen Denial-of-Service-Angriff über eine große Anzahl von Direktiven auszulösen, von denen jede ein eigenes Fenster öffnet. Das Produkt ermöglicht die Erschöpfung von Ressourcen durch eine große Anzahl von Aufrufen, die einen 3-Wege-Handshake nicht abschließen. Der Mailserver verarbeitet tief verschachtelte, mehrteilige MIME-Nachrichten nicht richtig, was zu einer Erschöpfung des Stapels führt. Kette: Das Antiviren-Produkt findet eine fehlerhafte Datei, kehrt aber von einer Funktion zurück, ohne einen Dateideskriptor zu schließen (CWE-775), was zu einem Verbrauch von Dateideskriptoren (CWE-400) und fehlgeschlagenen Überprüfungen führt.

Referenzen

CONFIRM Patch

http://samiam.org/blog/20111229.html Patch Third Party Advisory

SECTRACK

1026820 Third Party Advisory VDB Entry

XF

maradns-server-dos(72258) Third Party Advisory VDB Entry

CPE

cpe	start	ende
Configuration 1
cpe:2.3:a:maradns:maradns::::::::		<= 2.0.04

REMEDIERUNG

Patch

Url
http://samiam.org/blog/20111229.html

EXPLOITS

Exploit-db.com

id	beschreibung	datum
Keine bekannten Exploits

Andere (github, ...)

Url
Keine bekannten Exploits

CAPEC

Common Attack Pattern Enumerations and Classifications

id	beschreibung	schweregrad
147	XML Ping of the Death Ein Angreifer initiiert einen Angriff auf den Ressourcenverbrauch, bei dem eine große Anzahl kleiner XML-Nachrichten mit einer ausreichend hohen Geschwindigkeit übermittelt wird, um eine Dienstverweigerung oder einen Absturz des Ziels zu verursachen. Transaktionen, wie z. B. sich wiederholende SOAP-Transaktionen, können die Ressourcen schneller erschöpfen als ein einfacher Flooding-Angriff, da das SOAP-Protokoll zusätzliche Ressourcen beansprucht und die Verarbeitung von SOAP-Nachrichten Ressourcen erfordert. Die verwendeten Transaktionen sind unerheblich, solange sie eine Ressourcenauslastung auf dem Ziel verursachen. Mit anderen Worten, es handelt sich um einen normalen Flooding-Angriff, der durch die Verwendung von Nachrichten erweitert wird, die eine zusätzliche Verarbeitung auf dem Ziel erfordern. [Mit Hilfe eines Browsers oder eines automatisierten Tools zeichnet ein Angreifer alle Instanzen von Webdiensten auf, die XML-Anfragen verarbeiten. [Der Angreifer sendet eine große Anzahl kleiner XML-Nachrichten an die in der Erkundungsphase gefundenen Ziel-URLs mit einer ausreichend schnellen Rate. Dies führt zu einer Dienstverweigerung bei der Zielanwendung.	Mittel
227	Sustained Client Engagement Ein Angreifer versucht, legitimen Nutzern den Zugang zu einer Ressource zu verwehren, indem er eine bestimmte Ressource ständig angreift, um sie so lange wie möglich zu binden. Das Hauptziel des Angreifers besteht nicht darin, das Ziel zum Absturz zu bringen oder zu überschwemmen, was die Verteidiger alarmieren würde, sondern darin, wiederholt Aktionen auszuführen oder algorithmische Fehler auszunutzen, so dass eine bestimmte Ressource gebunden ist und einem legitimen Benutzer nicht zur Verfügung steht. Durch die sorgfältige Ausarbeitung von Anfragen, die die Ressource durch scheinbar harmlose Anfragen in Anspruch nehmen, wird legitimen Nutzern der Zugriff auf die Ressource eingeschränkt oder ganz verweigert.
492	Regular Expression Exponential Blowup Ein Angreifer kann einen Angriff auf ein Programm ausführen, das eine schlechte Implementierung eines regulären Ausdrucks (Regex) verwendet, indem er eine Eingabe wählt, die zu einer Extremsituation für den Regex führt. Eine typische Extremsituation erfordert exponentielle Zeit im Vergleich zur Eingabegröße. Dies ist darauf zurückzuführen, dass die meisten Implementierungen einen nichtdeterministischen endlichen Automaten (NFA) verwenden, der vom Regex-Algorithmus aufgebaut wird, da NFA Backtracking und damit komplexere reguläre Ausdrücke ermöglicht.

MITRE

Techniken

id	beschreibung
T1499	Denial of Service am Endpunkt
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Abhilfemaßnahmen

id	beschreibung
T1499	Nutzen Sie die Dienste von Content Delivery Networks (CDN) oder Anbietern, die sich auf DoS-Abwehr spezialisiert haben, um den Datenverkehr vor den Diensten zu filtern. Filtern Sie den Grenzverkehr, indem Sie die Quelladressen blockieren, von denen der Angriff ausgeht, die Ports blockieren, auf die der Angriff abzielt, oder die Protokolle blockieren, die für den Transport verwendet werden. Zur Abwehr von SYN-Floods aktivieren Sie SYN-Cookies.
© 2022 The MITRE Corporation. Dieses Werk wird mit Genehmigung von The MITRE Corporation vervielfältigt und verbreitet.

Sherlock® flash

Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !

Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.

Entdecke dieses Angebot

Sherlock® flash: Erste Lösung für sofortige Cybersicherheitsprüfung