VMware tre måneder om at rette kritisk DHCP-hul

Et kritisk sikkerhedshul i DHCP-klienten dhclient er nu - tre måneder efter hullet blev opdaget - lukket. Det er for lang responstid, mener sikkerhedsanalytiker.

Verdens største producent af virtualiseringssoftware, VMware, har nu lukket af for en kritisk sårbarhed i en DHCP-klient, der bruges i produktet VMware ESX.

Rettelsen sker omkring tre måneder efter, Version2 første gang beskrev sårbarheden, og patches blev frigivet til sikkerhedshullet.

Det er DHCP-klient med navnet dhclient fra Internet Systems Consortium, der er synderen. DHCP bruges ved automatisk tildeling af IP-adresser og tilknyttede parametre til en netværksenhed.

VMware ESX er en såkaldt 'bare-metal' hypervisor, hvilket betyder, at den kan installeres direkte på serverhardware uden et operativsystem under sig.

Sårbarheden i dhclient skyldes et stack overflow i metoden script_write_params(), der gør det muligt for en DHCP-server at afvikle vilkårlig kode som administrator på den udsatte klient.

Problemet opstår, fordi dhclient ikke tjekker længden af de informationer, som en DHCP-server forsyner klienten med - IP-adresse og subnet-maske ? og kopierer dem ind i et felt uden at tjekke, om feltets længde overskrides.

Burde rettes hurtigere
Det danske sikkerhedsfirma CSIS bekræfter overfor Version2, at der er tale om samme sårbarhed, som netop er blevet rettet i VMware ESX.

»Sårbarheden er den samme og skyldes et stack overflow i script_write_params-metoden i dhclient, som også anvendes i VMware ESX og derfor også gør denne installation sårbar,« skriver sikkerhedsanalytiker Peter Kruse, CSIS, i en mail til Version2.

Han mener, at VMware burde have reageret hurtigere på sårbarheden.

»Der burde, når der er tale om en sårbarhed af denne type, være en bedre respons tid,« lyder det fra Peter Kruse.

Men det er generelt ikke nemt at rette den slags fejl hurtigt, tilføjer han.

»Der er ofte mange tekniske overvejelser bag en opgradering, når en producent anvender software fra tredjepart eller underleverandører. Det skal gennemgå diverse kvalitets- og stabilitetstests og sikres, at opdateringen ikke har indflydelse på andre dele af pakken, og det tager tid,« forklarer Peter Kruse.

Han påpeger, at problemstillingen er set tidligere med tilsvarende, kritiske sårbarheder i populære distributioner af blandt andet DNS, Internet Key Exchange og SSH, som også findes i et utal af forskellige løsninger.

»Fælles for dem er, at man som sikkerhedsansvarlig bør være opmærksom på, om produkter man anvender, kan være omfattet af problemet. Og hvis ja, stille krav til en løsning på problemet og forvente, at man orienteres, når en løsning er klar,« skriver Peter Kruse.

Version2 har kontaktet VMware i Danmark for en forklaring, men her har man indtil videre sendt spørgsmålet om forløbet med at rette fejlen videre til kollegerne i USA.

Se VMwares annoncering af fejlrettelsen under fanebladet Eksterne links.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Gregersen

Nu er DHCP problemet vel knap så kritisk på ESX, som de utallige fejl der befinder sig i f.eks. Adobe Reader, hvor opdateringerne er planlagt hvert kvartal. Udbredelsen og konsekvensen ved opdateringen er og i to forskellige verdener. Det er da rart at nogle producenter er hurtigt ude med rettelser, men når man tæller den mængde timer sammen der skal til for at vedligeholde et miljø med de rettelser der bliver frigivet og så også tæller de timer med hvor forretningen bliver generet så ville de fleste nok hellere opdatere hver 3. måned eller endnu sjældnere. Samt alle de spændende følgevirkninger der er ved opdateringerne.

  • 0
  • 0
Asbjørn Sloth Tønnesen

Nu er DHCP problemet vel knap så kritisk på ESX

Det er nok også de færreste der bruger dhclient på ESX servere.

VMware ESX er en såkaldt ’bare-metal’ hypervisor, hvilket betyder, at den kan installeres direkte på serverhardware uden et operativsystem under sig.

Jeg foretrækker beskrivelsen:

VMware ESX er en virtualiserings distribution baseret på VMware's hypervisor og Red Hat Enterprise Linux.

Det andet er noget marketings vrøvl.

  • 0
  • 0
Kristian Vilmann

[quote]Nu er DHCP problemet vel knap så kritisk på ESX

Det er nok også de færreste der bruger dhclient på ESX servere.[/quote]

Det er muligt, men der er ikke noget som helst forkert i at gøre det. Hvis infrastruktureren er til det, giver det ingen problemer. Jeg har en del kunder der gør det.

Jeg foretrækker beskrivelsen:
[quote]VMware ESX er en virtualiserings distribution baseret på VMware's hypervisor og Red Hat Enterprise Linux.

[/quote]
Det er ikke korrekt. Det er muligt, at det du ser ligner en Red Hat, men det er kun til management og går under betegnelsen Service Console.
Selve hypervisoren loades undervejs i bootprocessen af denne Linux, og "ejer" hardwaren. Og hvis man kigger godt efter er Linux'en faktisk bare en virtuel maskine.

Det hænder (heldigvis meget meget længe siden) at man ser en Service Konsol der hænger, men de virtuelle servere kører videre. Hypervisoren kan leve uden linux-delen, men den kan ikke styres uden.

/kristian

  • 0
  • 0
Kristian Vilmann

Måske man lige skulle knytte endnu en kommentar til Linux-delen af ESX.
Alting peger i retning af at Service Consollen som vi kender den, er på vej ud af ESX. Den er for indviklet og tung af holde ved lige. Den fylder for meget og kræver alt for mange patches.

Fremtiden hedder ESXi, som ikke er meget andet end en hypervisor. Management klares fra en anden maskine.

/kristian

  • 0
  • 0
Asbjørn Sloth Tønnesen

Det er ikke korrekt. ....

Jeg skrev netop også hypervisoren først, men dette ville måske passe dig bedre:

VMware ESX er en virtualiserings distribution baseret på VMware's hypervisor, med en management virtuel maskine baseret på Red Hat Enterprise Linux.

For mig er det det samme, men det er det selfølgelig kun hvis man ved hvad en hypervisor er. Så derfor er det måske ikke den bedste formulering overfor folk der ikke kender noget til virtualisering. Men beskrivelsen i artiklen giver det indtryg at ESX kun er en hypervisor, og dermed at hypervisoren selv bruger dhclient internt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere