Auf dem 39. Chaos Communication Congress (39c3) in Hamburg wurde im Rahmen der Lightning Talks das Thema #toxicframe vorgestellt – ein Hardware-Bug, der Dateiübertragungen auf der Netgate SG-2100 deterministisch abbricht.
Der Talk#
Direktlink zum Talk (bei 1:34:11)
Der vierminütige Lightning Talk fasst die Kernpunkte des Problems zusammen:
- Das Symptom: Eine Dateiübertragung bricht immer bei exakt 49% ab – nicht zufällig, sondern deterministisch
- Die Isolation: Das Problem ist unabhängig vom Protokoll (SMB, HTTP) und tritt auch ohne VPN auf
- Der Schuldige: Ein spezifisches 14-Byte-Pattern, das sich 39-mal wiederholt, triggert den Bug
- Die Hardware: Der integrierte Marvell 6000 Switch der Netgate SG-2100 ist betroffen
- Die neuesten Erkenntnisse: Einfachste toxische Muster gefunden (Byte-Werte
0x4aund0xb5bei nur 120-121 Bytes!) - Die Geschichte: Das Problem wurde bereits 2020 auf Reddit berichtet – ohne Lösung
Hintergrund#
Die ausführliche technische Analyse und Dokumentation des Bugs:
- Toxic Frame auf Netgate SG-2100: 49% und kein Byte weiter – Der vollständige Artikel mit PCAP-Dateien, Videos und reproduzierbaren Testdateien
- Neues, einfacheres Muster gefunden – Neue Erkenntnisse: Einfachste toxische Muster identifiziert (nur 120-121 Bytes)
- Bug Report für Hersteller – Technische Dokumentation für Netgate/Support
- GitHub Repository – Testdateien, Skripte und Dokumentation
- Präsentation (PDF) – Die Folien des Lightning Talks
Reaktionen#
Nach dem Talk war ich am OpenWRT-Stand in Halle H und es kamen einige die Den Bug aus technischer sicht interessant fanden. Wer eine ähnliche Hardware (Router mit Marvell Switch) besitzt, kann den Bug mit der toxic.bin Testdatei selbst testen.
Status#
Netgate hat den Bug bestätigt und konnte ihn reproduzieren. Durch die neuen Erkenntnisse über die einfachsten toxischen Muster (Byte-Werte 0x4a und 0xb5 bei nur 120-121 Bytes) sollte eine systematische Analyse und Behebung des Hardware-Bugs nun deutlich einfacher sein. Ob und wann ein Fix verfügbar sein wird, ist derzeit unklar. Das Problem besteht seit mindestens vier Jahren.
Wim Bonis ist CTO der Stylite AG und beschäftigt sich schwerpunktmäßig mit Storage und Netzwerktechnik.