ProHoster > Blog > internet nyheder > Fjerndenial of service-sårbarheder i Linux og FreeBSD TCP-stakke

Fjerndenial of service-sårbarheder i Linux og FreeBSD TCP-stakke

Netflix selskab afsløret flere kritiske sårbarheder i Linux og FreeBSD TCP-stakke, som giver dig mulighed for at fjernstarte et kernenedbrud eller forårsage for stort ressourceforbrug, når du behandler specialdesignede TCP-pakker (packet-of-death). Problemer forårsaget fejl i behandlerne for den maksimale datablokstørrelse i en TCP-pakke (MSS, Maximum segment size) og mekanismen til selektiv bekræftelse af forbindelser (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - et problem, der dukker op i Linux-kerner fra 2.6.29 og giver dig mulighed for at forårsage kernepanik ved at sende en række SACK-pakker på grund af et heltalsoverløb i behandleren. For at angribe er det nok at indstille MSS-værdien for en TCP-forbindelse til 48 bytes (den nedre grænse sætter segmentstørrelsen til 8 bytes) og sende en sekvens af SACK-pakker arrangeret på en bestemt måde.

    Som sikkerhedsløsninger kan du deaktivere SACK-behandling (skriv 0 til /proc/sys/net/ipv4/tcp_sack) eller at blokere forbindelser med lav MSS (virker kun når sysctl net.ipv4.tcp_mtu_probing er sat til 0 og kan forstyrre nogle normale forbindelser med lav MSS);

  • CVE-2019-11478 (SACK Slowness) - fører til afbrydelse af SACK-mekanismen (når du bruger en Linux-kerne yngre end 4.15) eller for stort ressourceforbrug. Problemet opstår, når der behandles specielt fremstillede SACK-pakker, som kan bruges til at fragmentere en gentransmissionskø (TCP-gentransmission). Sikkerhedsløsningerne ligner den tidligere sårbarhed;
  • CVE-2019-5599 (SACK Slowness) - giver dig mulighed for at forårsage fragmentering af kortet over sendte pakker, når du behandler en speciel SACK-sekvens inden for en enkelt TCP-forbindelse og forårsage, at en ressourcekrævende listeoptællingsoperation udføres. Problemet opstår i FreeBSD 12 med RACK-mekanismen til registrering af pakketab. Som en løsning kan du deaktivere RACK-modulet;
  • CVE-2019-11479 - en angriber kan få Linux-kernen til at opdele svar i flere TCP-segmenter, som hver kun indeholder 8 bytes data, hvilket kan føre til en betydelig stigning i trafik, øget CPU-belastning og tilstopning af kommunikationskanalen. Det anbefales som en løsning til beskyttelse. at blokere forbindelser med lav MSS.

    I Linux-kernen blev problemerne løst i udgivelser 4.4.182, 4.9.182, 4.14.127, 4.19.52 og 5.1.11. En rettelse til FreeBSD er tilgængelig som lappe. I distributioner er der allerede udgivet opdateringer til kernepakker til Debian, RHEL, SUSE/openSUSE. Rettelse under forberedelse Ubuntu, Fedora и Arch Linux.

    Kilde: opennet.ru

    • Tilføj en kommentar