🥇Уязвимости в TCP стекове на Linux и FreeBSD, водещи до отдалечен отказ на услуга

Компания Netflix разкри няколко критични уязвимости в Linux и FreeBSD TCP стекове, които ви позволяват дистанционно да инициирате срив на ядрото или да предизвикате прекомерна консумация на ресурси при обработка на специално проектирани TCP пакети (packet-of-death). проблеми причинено от грешки в манипулаторите за максималния размер на блока данни в TCP пакет (MSS, Maximum segment size) и механизма за избирателно потвърждение на връзките (SACK, TCP Selective Acknowledgment).

CVE-2019 11477- (SACK Panic) - проблем, който се появява в ядрата на Linux, започвайки от 2.6.29 и ви позволява да предизвикате паника в ядрото чрез изпращане на поредица от SACK пакети поради целочислено препълване в манипулатора. За атака е достатъчно да зададете стойността на MSS за TCP връзка на 48 байта (долната граница определя размера на сегмента на 8 байта) и да изпратите последователност от SACK пакети, подредени по определен начин.

Като заобиколни решения за сигурност можете да деактивирате обработката на SACK (запишете 0 в /proc/sys/net/ipv4/tcp_sack) или да блокирам връзки с нисък MSS (работи само когато sysctl net.ipv4.tcp_mtu_probing е настроен на 0 и може да наруши някои нормални връзки с нисък MSS);

CVE-2019 11478- (SACK Slowness) - води до прекъсване на SACK механизма (при използване на Linux ядро, по-младо от 4.15) или прекомерна консумация на ресурси. Проблемът възниква при обработка на специално създадени SACK пакети, които могат да се използват за фрагментиране на опашка за повторно предаване (TCP повторно предаване). Заобиколните решения за сигурност са подобни на предишната уязвимост;

CVE-2019 5599- (SACK Slowness) - позволява ви да предизвикате фрагментиране на картата на изпратените пакети при обработка на специална SACK последователност в рамките на една TCP връзка и да предизвикате изпълнение на операция за изброяване на списък с интензивни ресурси. Проблемът се появява във FreeBSD 12 с механизма за откриване на загуба на пакети RACK. Като заобиколно решение можете да деактивирате RACK модула;

CVE-2019 11479- - нападателят може да накара ядрото на Linux да раздели отговорите на няколко TCP сегмента, всеки от които съдържа само 8 байта данни, което може да доведе до значително увеличаване на трафика, повишено натоварване на процесора и запушване на комуникационния канал. Препоръчва се като решение за защита. да блокирам връзки с нисък MSS.

В ядрото на Linux проблемите бяха разрешени във версии 4.4.182, 4.9.182, 4.14.127, 4.19.52 и 5.1.11. Корекция за FreeBSD е достъпна като пластир. В дистрибуциите актуализациите на пакетите на ядрото вече са пуснати за Debian, RHEL, SUSE/openSUSE. Корекция по време на подготовката Ubuntu, Fedora и Arch Linux.

Източник: opennet.ru

Уязвимости при отдалечен отказ на услуга в TCP стекове на Linux и FreeBSD

Добавяне на нов коментар

Уязвимости при отдалечен отказ на услуга в TCP стекове на Linux и FreeBSD

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар