Chyby zabezpečení vzdáleného odmítnutí služby v TCP stackech Linuxu a FreeBSD
Společnost Netflix několik kritických v Linuxu a FreeBSD TCP stacky, které umožňují vzdáleně iniciovat pád jádra nebo způsobit nadměrnou spotřebu zdrojů při zpracování speciálně navržených TCP paketů (packet-of-death). Problémy chyby v obslužných rutinách pro maximální velikost datového bloku v TCP paketu (MSS, Maximum segment size) a mechanismus pro selektivní potvrzování spojení (SACK, TCP Selective Acknowledgment).
(SACK Panic) – problém, který se objevuje v linuxových jádrech počínaje 2.6.29 a umožňuje vám způsobit jadernou paniku odesláním série SACK paketů kvůli přetečení celého čísla v obslužné rutině. K útoku stačí nastavit hodnotu MSS pro TCP spojení na 48 bajtů (spodní limit nastavuje velikost segmentu na 8 bajtů) a odeslat sekvenci SACK paketů uspořádaných určitým způsobem.
Jako řešení zabezpečení můžete zakázat zpracování SACK (zapsat 0 do /proc/sys/net/ipv4/tcp_sack) nebo připojení s nízkou MSS (funguje pouze tehdy, když je sysctl net.ipv4.tcp_mtu_probing nastaveno na 0 a může narušit některá normální připojení s nízkou MSS);
(SACK Slowness) - vede k narušení mechanismu SACK (při použití linuxového jádra mladšího než 4.15) nebo nadměrné spotřebě zdrojů. Problém nastává při zpracování speciálně vytvořených paketů SACK, které lze použít k fragmentaci fronty opakovaného přenosu (retransmise TCP). Zástupná řešení zabezpečení jsou podobná předchozí chybě zabezpečení;
(SACK Slowness) - umožňuje způsobit fragmentaci mapy odeslaných paketů při zpracování speciální sekvence SACK v rámci jednoho TCP spojení a způsobit provedení operace výčtu seznamu náročného na zdroje. Problém se objevuje ve FreeBSD 12 s mechanismem detekce ztráty paketů RACK. Jako řešení můžete zakázat modul RACK;
- Útočník může způsobit, že linuxové jádro rozdělí odpovědi na několik TCP segmentů, z nichž každý obsahuje pouze 8 bajtů dat, což může vést k výraznému nárůstu provozu, zvýšené zátěži procesoru a ucpání komunikačního kanálu. Doporučuje se jako řešení ochrany. spojení s nízkou MSS.
V jádře Linuxu byly problémy vyřešeny ve vydáních 4.4.182, 4.9.182, 4.14.127, 4.19.52 a 5.1.11. Oprava pro FreeBSD je k dispozici jako . V distribucích již byly vydány aktualizace balíčků jádra , , . Korekce během přípravy , и .
