ProHoster > Блог > internet vijesti > Ranjivosti u Linux i FreeBSD TCP stogovima dovode do udaljenog uskraćivanja usluge

Ranjivosti u Linux i FreeBSD TCP stogovima dovode do udaljenog uskraćivanja usluge

Kompanija Netflix otkriveno nekoliko kritičnih ranjivosti u Linux i FreeBSD TCP stogovima, koji vam omogućavaju da daljinski pokrenete pad kernela ili izazovete pretjeranu potrošnju resursa prilikom obrade posebno dizajniranih TCP paketa (packet-of-death). Problemi uzrokovano greške u rukovaocima za maksimalnu veličinu bloka podataka u TCP paketu (MSS, Maximum segment size) i mehanizmu za selektivnu potvrdu veza (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - problem koji se pojavljuje u jezgrima Linuxa počevši od 2.6.29 i omogućava vam da izazovete paniku kernela slanjem serije SACK paketa zbog prekoračenja cijelog broja u rukovatelju. Za napad je dovoljno postaviti MSS vrijednost za TCP vezu na 48 bajtova (donja granica postavlja veličinu segmenta na 8 bajtova) i poslati niz SACK paketa raspoređenih na određeni način.

    Kao sigurnosna rješenja, možete onemogućiti SACK obradu (upisati 0 u /proc/sys/net/ipv4/tcp_sack) ili blokirati veze sa niskim MSS-om (radi samo kada je sysctl net.ipv4.tcp_mtu_probing postavljen na 0 i može poremetiti neke normalne veze sa niskim MSS-om);

  • CVE-2019-11478 (SACK Slowness) - dovodi do prekida rada SACK mehanizma (kada se koristi Linux kernel mlađi od 4.15) ili prekomjerne potrošnje resursa. Problem se javlja kada se obrađuju posebno izrađeni SACK paketi, koji se mogu koristiti za fragmentaciju reda za ponovni prijenos (TCP ponovni prijenos). Sigurnosna rješenja su slična prethodnoj ranjivosti;
  • CVE-2019-5599 (SACK Slowness) - omogućava vam da izazovete fragmentaciju mape poslanih paketa prilikom obrade posebne SACK sekvence unutar jedne TCP veze i izazovete operaciju nabrajanja koja zahtijeva resurse. Problem se pojavljuje u FreeBSD 12 sa RACK mehanizmom za otkrivanje gubitka paketa. Kao rješenje, možete onemogućiti RACK modul;
  • CVE-2019-11479 - napadač može uzrokovati da Linux kernel podijeli odgovore na nekoliko TCP segmenata, od kojih svaki sadrži samo 8 bajtova podataka, što može dovesti do značajnog povećanja prometa, povećanja opterećenja CPU-a i začepljenja komunikacijskog kanala. Preporučuje se kao zaobilazno rešenje za zaštitu. blokirati veze sa niskim MSS-om.

    U Linux kernelu, problemi su riješeni u izdanjima 4.4.182, 4.9.182, 4.14.127, 4.19.52 i 5.1.11. Ispravka za FreeBSD je dostupna kao patch. U distribucijama, ažuriranja za kernel pakete su već objavljena Debian, RHEL, SUSE/openSUSE. Korekcija tokom pripreme Ubuntu, fedora и Arch Linux.

    izvor: opennet.ru

    • Dodajte komentar