ProHoster > Blog > nutizie internet > Vulnerabilità in Linux è FreeBSD TCP stacks chì portanu à a negazione remota di serviziu

Vulnerabilità in Linux è FreeBSD TCP stacks chì portanu à a negazione remota di serviziu

Cumpagnia Netflix rivelatu parechji critichi vulnerabilità in Linux è FreeBSD TCP stacks, chì permettenu di inizià remotamente un crash di u kernel o pruvucà un cunsumu eccessivu di risorse quandu si tratta di pacchetti TCP apposta (packet-of-death). Prublemi causatu da errori in i gestori per a dimensione massima di u bloccu di dati in un pacchettu TCP (MSS, Maximum segment size) è u mecanismu per a ricunniscenza selettiva di cunnessione (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - un prublema chì appare in i kernels Linux à partesi da 2.6.29 è vi permette di causà un panicu di u kernel mandendu una seria di pacchetti SACK per un overflow integer in u handler. Per attaccà, hè abbastanza per stabilisce u valore MSS per una cunnessione TCP à 48 bytes (u limitu più minimu stabilisce a dimensione di u segmentu à 8 bytes) è mandà una sequenza di pacchetti SACK disposti in una certa manera.

    Cum'è una soluzione di sicurezza, pudete disattivà u processu SACK (scrivite 0 à /proc/sys/net/ipv4/tcp_sack) o per bluccà cunnessione cù MSS bassu (funziona solu quandu sysctl net.ipv4.tcp_mtu_probing hè stabilitu à 0 è pò disturbà alcune cunnessione normale cù MSS bassu);

  • CVE-2019-11478 (SACK Slowness) - porta à l'interruzzione di u mecanismu SACK (quandu si usa un kernel Linux più chjucu di 4.15) o un cunsumu eccessivu di risorse. U prublema si trova quandu si tratta di pacchetti SACK apposta, chì ponu esse aduprati per frammentà a fila di retransmission (retransmission TCP). E soluzioni di sicurezza sò simili à a vulnerabilità precedente;
  • CVE-2019-5599 (SACK Slowness) - permette di pruvucà a frammentazione di a mappa di i pacchetti mandati durante u processu di una sequenza SACK speciale in una sola cunnessione TCP è pruvucà una operazione di enumerazione di lista intensiva di risorse per esse realizatu. U prublema si prisenta in FreeBSD 12 cù u mecanismu di rilevazione di perdita di pacchetti RACK. Comu solu solu, pudete disattivà u modulu RACK;
  • CVE-2019-11479 - un attaccu pò causà à u kernel Linux di sparte e risposti in parechji segmenti TCP, chì ognuna cuntene solu 8 bytes di dati, chì ponu purtà à un incrementu significativu di u trafficu, un aumentu di a carica di CPU è l'otturazione di u canali di cumunicazione. Hè cunsigliatu cum'è una soluzione per a prutezzione. per bluccà cunnessione cù bassa MSS.

    In u kernel Linux, i prublemi sò stati risolti in versioni 4.4.182, 4.9.182, 4.14.127, 4.19.52 è 5.1.11. Una correzione per FreeBSD hè dispunibule cum'è patch. In distribuzioni, l'aghjurnamenti di i pacchetti di kernel sò digià stati liberati per Debian, RHEL, SUSE/openSUSE. Correzione durante a preparazione Ubuntu, Fedora и Arch Linux.

    Source: opennet.ru

    • Add a comment