Eigentlich war der Internetstandard mit dem Kürzel RFC 5961 dazu gedacht, TCP-Verbindungen besser vor Angriffen zu schützen. Wie sich nun herausstellt, hat er allerdings exakt das Gegenteil ausgelöst.

Linux only

Sicherheitsforscher der Universität von Kalifornien warnen vor einer Sicherheitslücke im Linux-Kernel (ab Version 3.6), die zum Ausspionieren von HTTP-Verbindungen genutzt werden kann. Und dieser Fehler geht eben direkt auf RFC 5961 zurück. Dass nur Linux davon betroffen ist, hat einen simplen Grund: Andere Betriebssysteme haben den Standardvorschlag bislang noch nicht vollständig implementiert.

Sec UCR

Im Rahmen der Sicherheitskonferenz "Usenix Security Symposium" gingen die Entdecker des Problems auf weitere Details ein. So zeigten sie etwa, wie sie einem Besucher eine manipulierte Version der Webseite von USA Today unterjubelten. Dabei konnten sie auch Javascript einschmuggeln, womit sie dann Passwörter von der betreffenden Webseite abfangen konnten.

Beschränkungen

Angesichts der weiten Verbreitung von Linux am Server ist von diesem Problem ein bedeutender Teil des Webs betroffen. Dass trotzdem nicht gleich die ganz großen Alarmglocken ausgepackt werden, hat allerdings auch einen guten Grund: Ein solcher Angriff bedarf nämlich einiges Aufwands. So muss ein Angreifer nicht nur die IP-Adresse seines Opfers kennen, er muss auch Zugriff auf das Netzwerk haben, um präparierte Pakete an beide Seiten schicken zu können und infolge den Datenstrom zu manipulieren.

Trotzdem warnen die Forscher, das Ganze nicht auf die all zu leichte Schulter zu nehmen. So wäre es über diesen Trick auch denkbar, Server im Anonymisierungsnetzwerk Tor anzugreifen oder Rückschlüsse auf einzelne Nutzer zu ziehen.

Update

Der Fehler wurde bereits mit dem aktuellen Update auf Linux 4.7 geschlossen. Zudem haben die diversen Distributionen damit begonnen, Updates für ältere Kernel-Versionen auszuliefern. (apo, 12.8.2016)