ProHoster > Blog > internet nuus > Kwesbaarhede in Linux- en FreeBSD TCP-stapels wat lei tot afgeleë ontkenning van diens

Kwesbaarhede in Linux- en FreeBSD TCP-stapels wat lei tot afgeleë ontkenning van diens

Netflix Maatskappy geopenbaar verskeie kritiek kwesbaarhede in Linux- en FreeBSD TCP-stapels, wat jou toelaat om 'n kernongeluk op afstand te begin of oormatige hulpbronverbruik te veroorsaak wanneer spesiaal ontwerpte TCP-pakkies (pakkie-van-dood) verwerk word. Probleme veroorsaak deur foute in die hanteerders vir die maksimum datablokgrootte in 'n TCP-pakkie (MSS, Maksimum segmentgrootte) en die meganisme vir selektiewe erkenning van verbindings (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - 'n probleem wat in Linux-kerne verskyn vanaf 2.6.29 en jou toelaat om 'n kernpaniek te veroorsaak deur 'n reeks SACK-pakkies te stuur as gevolg van 'n heelgetal-oorloop in die hanteerder. Om aan te val, is dit genoeg om die MSS-waarde vir 'n TCP-verbinding op 48 grepe te stel (die onderste limiet stel die segmentgrootte op 8 grepe) en stuur 'n reeks SACK-pakkies wat op 'n sekere manier gerangskik is.

    As veiligheidsoplossings kan u SACK-verwerking deaktiveer (skryf 0 na /proc/sys/net/ipv4/tcp_sack) of te blokkeer verbindings met lae MSS (werk slegs wanneer sysctl net.ipv4.tcp_mtu_probing op 0 gestel is en kan sommige normale verbindings met lae MSS ontwrig);

  • CVE-2019-11478 (SACK Slowness) - lei tot ontwrigting van die SACK-meganisme (wanneer 'n Linux-kern jonger as 4.15 gebruik word) of oormatige hulpbronverbruik. Die probleem kom voor wanneer spesiaal vervaardigde SACK-pakkies verwerk word, wat gebruik kan word om 'n heruitsendingswag (TCP-heruitsending) te fragmenteer. Die veiligheidsoplossings is soortgelyk aan die vorige kwesbaarheid;
  • CVE-2019-5599 (SACK Slowness) - laat jou toe om fragmentasie van die kaart van gestuurde pakkies te veroorsaak wanneer 'n spesiale SACK-volgorde binne 'n enkele TCP-verbinding verwerk word en veroorsaak dat 'n hulpbron-intensiewe lysopsommingsbewerking uitgevoer word. Die probleem verskyn in FreeBSD 12 met die RACK pakkieverlies opsporing meganisme. As 'n oplossing kan jy die RACK-module deaktiveer;
  • CVE-2019-11479 - 'n aanvaller kan veroorsaak dat die Linux-kern antwoorde verdeel in verskeie TCP-segmente, wat elkeen slegs 8 grepe data bevat, wat kan lei tot 'n aansienlike toename in verkeer, verhoogde SVE-lading en verstopping van die kommunikasiekanaal. Dit word aanbeveel as 'n oplossing vir beskerming. te blokkeer verbindings met lae MSS.

    In die Linux-kern is die probleme opgelos in vrystellings 4.4.182, 4.9.182, 4.14.127, 4.19.52 en 5.1.11. 'n Regstelling vir FreeBSD is beskikbaar as pleister. In verspreidings is opdaterings aan kernpakkette reeds vrygestel vir Debian, RHEL, SUSE/openSUSE. Regstelling tydens voorbereiding Ubuntu, Fedora и Arch Linux.

    Bron: opennet.ru

    • Voeg 'n opmerking