ProHoster > بلوق > أخبار الإنترنت > تؤدي الثغرات الأمنية في مكدسات Linux و FreeBSD TCP إلى رفض الخدمة عن بُعد
تؤدي الثغرات الأمنية في مكدسات Linux و FreeBSD TCP إلى رفض الخدمة عن بُعد
شركة نتفليكس عدة حرجة في مجموعات Linux وFreeBSD TCP، والتي تتيح لك تشغيل تعطل kernel عن بعد أو التسبب في استهلاك مفرط للموارد عند معالجة حزم TCP المصممة خصيصًا (حزمة الموت). مشاكل أخطاء في معالجات الحد الأقصى لحجم كتلة البيانات في حزمة TCP (MSS، الحد الأقصى لحجم القطعة) وآلية الإقرار الانتقائي للاتصالات (SACK، TCP Selective Acknowledgment).
(SACK Panic) - مشكلة تظهر في نواة Linux بدءًا من 2.6.29 وتسمح لك بالتسبب في ذعر النواة عن طريق إرسال سلسلة من حزم SACK بسبب تجاوز عدد صحيح في المعالج. للهجوم، يكفي تعيين قيمة MSS لاتصال TCP على 48 بايت (يحدد الحد الأدنى حجم المقطع على 8 بايت) وإرسال سلسلة من حزم SACK مرتبة بطريقة معينة.
كحلول أمنية، يمكنك تعطيل معالجة SACK (اكتب 0 إلى /proc/sys/net/ipv4/tcp_sack) أو اتصالات MSS المنخفضة (تعمل فقط عند تعيين sysctl net.ipv4.tcp_mtu_probing على 0 وقد تؤدي إلى تعطيل بعض اتصالات MSS المنخفضة العادية)؛
(بطء SACK) - يؤدي إلى تعطيل آلية SACK (عند استخدام نواة Linux أصغر من 4.15) أو الاستهلاك المفرط للموارد. تحدث هذه المشكلة عند معالجة حزم SACK المعدة خصيصًا، والتي يمكن استخدامها لتجزئة قائمة انتظار إعادة الإرسال (إعادة إرسال TCP). تشبه الحلول الأمنية الثغرة الأمنية السابقة؛
(SACK Slowness) - يسمح لك بالتسبب في تجزئة خريطة الحزم المرسلة عند معالجة تسلسل SACK خاص داخل اتصال TCP واحد والتسبب في تنفيذ عملية تعداد قائمة كثيفة الاستخدام للموارد. تظهر المشكلة في FreeBSD 12 مع آلية الكشف عن فقدان الحزمة RACK. كحل بديل، يمكنك تعطيل وحدة RACK؛
- يمكن للمهاجم أن يتسبب في قيام Linux kernel بتقسيم الاستجابات إلى عدة قطاعات TCP، تحتوي كل منها على 8 بايت فقط من البيانات، مما قد يؤدي إلى زيادة كبيرة في حركة المرور وزيادة حمل وحدة المعالجة المركزية وانسداد قناة الاتصال. يوصى به كحل بديل للحماية. اتصالات مع MSS منخفضة.
في Linux kernel، تم حل المشكلات في الإصدارات 4.4.182 و4.9.182 و4.14.127 و4.19.52 و5.1.11. يتوفر إصلاح لـ FreeBSD كـ . في التوزيعات، تم بالفعل إصدار تحديثات لحزم النواة , , . التصحيح أثناء التحضير , и .
