28c3 - Hash-Kollisionen legen Webserver lahm
Anzeige Hier werben
Die Hacker "alech" und "zeri" haben auf dem derzeit stattfindenden 28. Chaos Communication Congress des CCC gezeigt, wie einfach sich viele der derzeitig eingesetzten Webserver durch Hash-Kollisionen lahmlegen lassen.
Ausgenützt wird dazu ein Fehler in gängigen Hash-Funktionen die dazu führt, dass bei Kollisionen eine hohe CPU Last entsteht. Mit einem speziell präparierten POST-Request lässt sich, trotz Begrenzung der Ausführungszeit und der Upload größe beträchtlicher Schaden anrichten. So reicht bei manchen Webservern bereits eine 100KBit/s Leitung aus um einen Core-i7 Prozessor für eine halbe Minute auszulasten. Steht insgesamt 1GBit zur Verfügung ließen sich, je nach Webserver Art, bis zu 30.000 Prozessorkerne beschäftigen.
Zurzeit des Entdeckens des Hacks waren alle gängigen Websprachen, bis auf Perl, die den Fehler bereits 2003 behoben hatten, davon betroffen.
Schnell reagiert haben die Entwickler von Ruby, ASP.Net. Tomcat und PHP, diese haben entweder bereits Workarounds geliefert oder wollen in kurzer Zeit Patches bereitstellen.
Von Seiten Python und Java wurde bisher noch keine Lösung des Problems angekündigt.
Allgemein sind den Hackern noch keine Angriffe bekannt die mit der entsprechenden Methode durchgeführt wurden. Wer Opfer eines entsprechenden Angriffs wird kann sich kurzfristig damit behelfen die CPU-Limits und POST-Abfrage Größen zu reduzieren und die Verwendung von Hash-Funktionen zu randomisieren.
Ist derzeit Student im 8. Semester an der FH-Augsburg und arbeitet als Werksstudent bei Team23. Außerdem betreibt er mit Freunden den Gemeinschaftsblog: tortugabay.org
Profilseite betrachten