🥇লিনাক্স এবং ফ্রিবিএসডি টিসিপি স্ট্যাকের দুর্বলতা যা দূরবর্তী পরিষেবা অস্বীকার করে

নেটফ্লিক্স কোম্পানি প্রকাশিত বেশ কিছু সমালোচনামূলক দুর্বলতা লিনাক্স এবং ফ্রিবিএসডি টিসিপি স্ট্যাকগুলিতে, যা আপনাকে বিশেষভাবে ডিজাইন করা টিসিপি প্যাকেট (প্যাকেট-অফ-ডেথ) প্রক্রিয়া করার সময় দূরবর্তীভাবে একটি কার্নেল ক্র্যাশ শুরু করতে বা অত্যধিক সংস্থান খরচের কারণ হতে দেয়। সমস্যা কারণে একটি TCP প্যাকেটে সর্বাধিক ডেটা ব্লকের আকারের জন্য হ্যান্ডলারের ত্রুটি (MSS, সর্বোচ্চ সেগমেন্ট সাইজ) এবং সংযোগের নির্বাচনী স্বীকৃতির প্রক্রিয়া (SACK, TCP নির্বাচনী স্বীকৃতি)।

জন্য CVE-2019-11477 (SACK প্যানিক) - একটি সমস্যা যা লিনাক্স কার্নেলগুলিতে 2.6.29 থেকে শুরু হয় এবং হ্যান্ডলারে একটি পূর্ণসংখ্যা ওভারফ্লো হওয়ার কারণে SACK প্যাকেটের একটি সিরিজ পাঠিয়ে আপনাকে কার্নেল আতঙ্ক সৃষ্টি করতে দেয়। আক্রমণ করার জন্য, একটি TCP সংযোগের জন্য MSS মান 48 বাইটে সেট করা যথেষ্ট (নিম্ন সীমাটি সেগমেন্টের আকার 8 বাইটে সেট করে) এবং একটি নির্দিষ্ট উপায়ে সাজানো SACK প্যাকেটগুলির একটি ক্রম প্রেরণ করা।

নিরাপত্তা সমাধান হিসাবে, আপনি SACK প্রক্রিয়াকরণ অক্ষম করতে পারেন (0 লিখুন /proc/sys/net/ipv4/tcp_sack) অথবা অবরুদ্ধ কম MSS-এর সাথে সংযোগগুলি (শুধুমাত্র যখন sysctl net.ipv4.tcp_mtu_probing 0 এ সেট করা থাকে এবং কম MSS এর সাথে কিছু স্বাভাবিক সংযোগ ব্যাহত করতে পারে তখনই কাজ করে);

জন্য CVE-2019-11478 (SACK স্লোনেস) - SACK মেকানিজমের ব্যাঘাত ঘটায় (4.15 এর চেয়ে কম বয়সী লিনাক্স কার্নেল ব্যবহার করার সময়) বা অত্যধিক সম্পদ খরচ। বিশেষভাবে তৈরি করা SACK প্যাকেটগুলি প্রক্রিয়া করার সময় সমস্যাটি ঘটে, যা একটি রিট্রান্সমিশন কিউ (TCP রিট্রান্সমিশন) খণ্ডিত করতে ব্যবহার করা যেতে পারে। নিরাপত্তা সমাধান পূর্ববর্তী দুর্বলতার অনুরূপ;

জন্য CVE-2019-5599 (SACK স্লোনেস) - একটি একক TCP সংযোগের মধ্যে একটি বিশেষ SACK ক্রম প্রক্রিয়াকরণের সময় প্রেরিত প্যাকেটগুলির মানচিত্রের খণ্ডিতকরণ ঘটাতে এবং একটি সংস্থান-নিবিড় তালিকা গণনা অপারেশন সঞ্চালনের কারণ হতে দেয়৷ সমস্যাটি ফ্রিবিএসডি 12-এ RACK প্যাকেটের ক্ষতি সনাক্তকরণ পদ্ধতির সাথে দেখা যায়। একটি সমাধান হিসাবে, আপনি RACK মডিউল নিষ্ক্রিয় করতে পারেন;

জন্য CVE-2019-11479 - একজন আক্রমণকারী লিনাক্স কার্নেলের প্রতিক্রিয়াগুলিকে কয়েকটি TCP সেগমেন্টে বিভক্ত করতে পারে, যার প্রতিটিতে মাত্র 8 বাইট ডেটা থাকে, যা ট্র্যাফিকের উল্লেখযোগ্য বৃদ্ধি, CPU লোড বৃদ্ধি এবং যোগাযোগের চ্যানেল বন্ধ করে দিতে পারে। এটি সুরক্ষার জন্য একটি সমাধান হিসাবে সুপারিশ করা হয়। অবরুদ্ধ কম MSS এর সাথে সংযোগ।

Linux কার্নেলে, 4.4.182, 4.9.182, 4.14.127, 4.19.52 এবং 5.1.11 রিলিজে সমস্যাগুলি সমাধান করা হয়েছে। FreeBSD এর জন্য একটি ফিক্স হিসাবে উপলব্ধ প্যাচ. ডিস্ট্রিবিউশনে, কার্নেল প্যাকেজের আপডেট ইতিমধ্যেই প্রকাশ করা হয়েছে ডেবিয়ান, RHEL, SUSE/openSUSE. প্রস্তুতির সময় সংশোধন উবুন্টু, ফেডোরা и আর্কিটেকচার লিনাক্স.

উত্স: opennet.ru

লিনাক্স এবং ফ্রিবিএসডি টিসিপি স্ট্যাকগুলিতে পরিষেবার দুর্বলতার দূরবর্তী অস্বীকার

একটি মন্তব্য জুড়ুন উত্তর বাতিল