Kritische Lücke in P2P-Technologie FastTrack

In FastTrack - der Technologie, die Kazaa, Grokster, iMesh und anderen Peer-to-Peer-Clients zu Grunde liegt - wurde eine gravierende Sicherheitslücke entdeckt. Über diese können Denial-of-Service-Attacken (DoS) gegen so genannte Supernodes vorgenommen und diese wahrscheinlich auch kompromittiert werden.

Bei Supernodes handelt es sich um Clients mit langen Online-Zeiten, hoher Bandbreite, einer öffentlichen IP-Adresse, schnellen CPUs und reichlich Arbeitsspeicher. Solche Supernodes überwachen andere Supernodes sowie im P2P-Netz eingebuchte Clients. Es gibt rund 3 Millionen solcher Supernodes, jeder davon mit bis zu 300 Clients.

Potenziell kann jeder auf FastTrack basierende P2P-Client ein Supernode werden, ohne dass der Besitzer des Rechners dies zwangsläufig mitbekommen würde (bei manchen Clients erfordert dies jedoch eine Bestätigung durch den Benutzer).

Das Problem wird dadurch verursacht, dass der als Supernode fungierende Client eingehende Requests mit Informationen über andere Supernodes grundsätzlich annimmt. Allerdings dürfen die ankommenden Pakete nur Informationen über maximal 200 andere Supernodes enthalten. Umfasst das Paket Daten von 203 oder mehr Supernodes, läuft der zugewiesene Puffer über. Das bringt den Rechner in der Regel zum Absturz.

Allerdings gibt es auch Berichte, nach denen sich der Pufferüberlauf zum Einspeisen beliebigen Codes auf den Supernode ausnutzen lässt. Die entsprechende Erfolgsquote liegt danach bei 50 Prozent. Jedoch ist dies bis jetzt noch nicht bestätigt. Die Sicherheitslücke könnte theoretisch dazu verwendet werden, alle auf FastTrack basierenden P2P-Netzwerke lahm zu legen.

Sollte sich die Vermutung bestätigen, dass auch das Einspeisen beliebigen Codes möglich ist, ließe sich die Sicherheitslücke auch zur Verbreitung eines Virus oder Wurms nutzen. Eine aktualisierte Version von Kazaa (2.1.1) wurde bereits freigegeben.

Über Sicherheitslücken informiert Sie der tecCHANNEL-Security Newsletter. Den 7-Tage-Überblick des Sicherheits-Newsletters finden Sie hier. (jlu/uba)