ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang layo nga pagdumili sa mga kahuyangan sa serbisyo sa Linux ug FreeBSD TCP stacks

Ang layo nga pagdumili sa mga kahuyangan sa serbisyo sa Linux ug FreeBSD TCP stacks

Kompanya sa Netflix gipadayag pipila ka kritikal mga kahuyang sa Linux ug FreeBSD TCP stacks, nga nagtugot kanimo sa layo nga pagsugod sa usa ka kernel crash o hinungdan sa sobra nga konsumo sa kapanguhaan sa pagproseso sa espesyal nga gidisenyo nga TCP packet (packet-of-death). Mga problema hinungdan sa mga kasaypanan sa mga tigdumala alang sa labing taas nga gidak-on sa block sa datos sa usa ka TCP packet (MSS, Maximum nga gidak-on sa bahin) ug ang mekanismo alang sa pinili nga pag-ila sa mga koneksyon (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - usa ka problema nga makita sa Linux kernels sugod sa 2.6.29 ug nagtugot kanimo sa pagpahinabo sa usa ka kernel panic pinaagi sa pagpadala sa usa ka serye sa mga pakete sa SACK tungod sa usa ka integer nga overflow sa handler. Sa pag-atake, igo na nga ibutang ang kantidad sa MSS alang sa koneksyon sa TCP ngadto sa 48 bytes (ang ubos nga limitasyon nagtakda sa gidak-on sa bahin ngadto sa 8 bytes) ug ipadala ang han-ay sa mga pakete sa SACK nga gihan-ay sa usa ka paagi.

    Ingon nga mga solusyon sa seguridad, mahimo nimong i-disable ang pagproseso sa SACK (isulat ang 0 sa /proc/sys/net/ipv4/tcp_sack) o sa pag-block mga koneksyon nga adunay ubos nga MSS (motrabaho lamang kung ang sysctl net.ipv4.tcp_mtu_probing gibutang sa 0 ug mahimong makabalda sa pipila ka normal nga koneksyon nga adunay ubos nga MSS);

  • CVE-2019-11478 (SACK Slowness) - mosangpot sa pagkabalda sa mekanismo sa SACK (sa paggamit sa Linux kernel nga mas bata sa 4.15) o sobra nga konsumo sa kapanguhaan. Ang problema mahitabo kung ang pagproseso sa espesyal nga gihimo nga mga pakete sa SACK, nga magamit sa pagbahinbahin sa usa ka retransmission queue (TCP retransmission). Ang mga solusyon sa seguridad parehas sa miaging kahuyangan;
  • CVE-2019-5599 (SACK Slowness) - nagtugot kanimo nga mahimong hinungdan sa pagkabahinbahin sa mapa sa gipadala nga mga pakete kung nagproseso sa usa ka espesyal nga han-ay sa SACK sa sulod sa usa ka koneksyon sa TCP ug hinungdan nga himuon ang usa ka operasyon sa pag-ihap sa lista nga kusog sa kapanguhaan. Ang problema makita sa FreeBSD 12 nga adunay RACK packet loss detection mechanism. Isip usa ka workaround, mahimo nimong i-disable ang RACK module;
  • CVE-2019-11479 - Ang usa ka tig-atake mahimong hinungdan nga ang Linux kernel magbahin sa mga tubag sa daghang mga bahin sa TCP, nga ang matag usa adunay sulud nga 8 bytes nga datos, nga mahimong mosangput sa usa ka hinungdanon nga pagtaas sa trapiko, pagtaas sa load sa CPU ug pagbara sa channel sa komunikasyon. Girekomenda kini ingon usa ka solusyon alang sa proteksyon. sa pag-block mga koneksyon sa ubos nga MSS.

    Sa Linux kernel, ang mga isyu nasulbad sa mga gipagawas nga 4.4.182, 4.9.182, 4.14.127, 4.19.52, ug 5.1.11. Ang usa ka ayo alang sa FreeBSD magamit ingon patch. Sa mga pag-apod-apod, ang mga update sa mga pakete sa kernel gipagawas na alang sa Debian, RHEL, SUSE/openSUSE. Pagtul-id sa panahon sa pagpangandam Ubuntu, Fedora ΠΈ Arch Linux.

    Source: opennet.ru

    • Idugang sa usa ka comment