ProHoster > Bloc > notícies d'internet > Vulnerabilitats a les piles TCP de Linux i FreeBSD que condueixen a la denegació remota de servei
Vulnerabilitats a les piles TCP de Linux i FreeBSD que condueixen a la denegació remota de servei
Empresa Netflix diversos crítics a les piles TCP de Linux i FreeBSD, que us permeten iniciar de forma remota una fallada del nucli o provocar un consum excessiu de recursos en processar paquets TCP dissenyats especialment (paquet de mort). Problemes errors en els controladors per a la mida màxima del bloc de dades en un paquet TCP (MSS, Mida màxima del segment) i el mecanisme per al reconeixement selectiu de les connexions (SACK, TCP Selective Acknowledgement).
(SACK Panic) - un problema que apareix als nuclis de Linux a partir de la 2.6.29 i que us permet provocar un pànic del nucli enviant una sèrie de paquets SACK a causa d'un desbordament d'enters al controlador. Per atacar, n'hi ha prou amb establir el valor MSS d'una connexió TCP a 48 bytes (el límit inferior estableix la mida del segment en 8 bytes) i enviar una seqüència de paquets SACK disposats d'una determinada manera.
Com a solucions alternatives de seguretat, podeu desactivar el processament SACK (escriure 0 a /proc/sys/net/ipv4/tcp_sack) o connexions MSS baixes (només funciona quan sysctl net.ipv4.tcp_mtu_probing està establert a 0 i pot interrompre algunes connexions MSS baixes normals);
(SACK Slowness): provoca una interrupció del mecanisme SACK (quan s'utilitza un nucli Linux menor de 4.15) o un consum excessiu de recursos. El problema es produeix quan es processen paquets SACK especialment dissenyats, que es poden utilitzar per fragmentar una cua de retransmissió (retransmissió TCP). Les solucions de seguretat són similars a la vulnerabilitat anterior;
(SACK Slowness) - us permet provocar la fragmentació del mapa de paquets enviats quan processeu una seqüència especial de SACK dins d'una única connexió TCP i fer que es realitzi una operació d'enumeració de llistes que requereix molts recursos. El problema apareix a FreeBSD 12 amb el mecanisme de detecció de pèrdua de paquets RACK. Com a solució alternativa, podeu desactivar el mòdul RACK;
- Un atacant pot provocar que el nucli de Linux divideixi les respostes en diversos segments TCP, cadascun dels quals conté només 8 bytes de dades, cosa que pot provocar un augment significatiu del trànsit, un augment de la càrrega de la CPU i l'obstrucció del canal de comunicació. Es recomana com a solució alternativa per a la protecció. connexions amb baix MSS.
Al nucli de Linux, els problemes es van resoldre a les versions 4.4.182, 4.9.182, 4.14.127, 4.19.52 i 5.1.11. Hi ha disponible una solució per a FreeBSD com . A les distribucions, les actualitzacions dels paquets del nucli ja s'han publicat per , , . Correcció durant la preparació , и .
