Gwadu gwendidau gwasanaeth o bell mewn staciau TCP Linux a FreeBSD
Cwmni Netflix sawl beirniadol mewn staciau TCP Linux a FreeBSD, sy'n eich galluogi i gychwyn damwain cnewyllyn o bell neu achosi defnydd gormodol o adnoddau wrth brosesu pecynnau TCP a ddyluniwyd yn arbennig (pecyn marwolaeth). Problemau gwallau yn y trinwyr ar gyfer maint bloc data mwyaf mewn pecyn TCP (MSS, Maint segment mwyaf) a'r mecanwaith ar gyfer cydnabod cysylltiadau yn ddetholus (SACK, TCP Selective Acnowledgement).
(SACK Panic) - problem sy'n ymddangos mewn cnewyllyn Linux gan ddechrau o 2.6.29 ac sy'n eich galluogi i achosi panig cnewyllyn trwy anfon cyfres o becynnau SACK oherwydd gorlif cyfanrif yn y triniwr. Er mwyn ymosod, mae'n ddigon gosod y gwerth MSS ar gyfer cysylltiad TCP i 48 bytes (mae'r terfyn isaf yn gosod maint y segment i 8 bytes) ac anfon dilyniant o becynnau SACK wedi'u trefnu mewn ffordd benodol.
Fel atebion diogelwch, gallwch analluogi prosesu SACK (ysgrifennwch 0 i /proc/sys/net/ipv4/tcp_sack) neu cysylltiadau Γ’ MSS isel (yn gweithio dim ond pan fydd sysctl net.ipv4.tcp_mtu_probing wedi'i osod i 0 a gall amharu ar rai cysylltiadau arferol Γ’ MSS isel);
(Arafwch SACK) - yn arwain at amhariad ar fecanwaith SACK (wrth ddefnyddio cnewyllyn Linux yn iau na 4.15) neu ddefnydd gormodol o adnoddau. Mae'r broblem yn digwydd wrth brosesu pecynnau SACK wedi'u crefftio'n arbennig, y gellir eu defnyddio i ddarnio ciw ailddarllediad (aildrosglwyddiad TCP). Mae'r atebion diogelwch yn debyg i'r bregusrwydd blaenorol;
(Arafwch SACK) - yn eich galluogi i achosi darnio'r map o becynnau a anfonwyd wrth brosesu dilyniant SACK arbennig o fewn cysylltiad TCP sengl ac achosi gweithrediad cyfrifo rhestr adnoddau-ddwys i gael ei berfformio. Mae'r broblem yn ymddangos yn FreeBSD 12 gyda'r mecanwaith canfod colled pecyn RACK. Fel ateb, gallwch analluogi'r modiwl RACK;
- gall ymosodwr achosi i'r cnewyllyn Linux rannu ymatebion yn sawl segment TCP, pob un ohonynt yn cynnwys dim ond 8 bytes o ddata, a all arwain at gynnydd sylweddol mewn traffig, mwy o lwyth CPU a chlocsio'r sianel gyfathrebu. Argymhellir fel ateb i'w amddiffyn. cysylltiadau Γ’ MSS isel.
Yn y cnewyllyn Linux, cafodd y materion eu datrys mewn datganiadau 4.4.182, 4.9.182, 4.14.127, 4.19.52, a 5.1.11. Mae atgyweiriad ar gyfer FreeBSD ar gael fel . Mewn dosbarthiadau, mae diweddariadau i becynnau cnewyllyn eisoes wedi'u rhyddhau ar gyfer , , . Cywiro wrth baratoi , ΠΈ .
