Sicherheitsanfälligkeiten in den TCP-Stacks von Linux und FreeBSD, die zu einem Remote Denial-of-Service führen.

Die Firma Netflix hat mehrere kritische Schwachstellen in den TCP-Stacks von Linux und FreeBSD identifiziert, die es ermöglichen, das Kernel remote zum Absturz zu bringen oder übermäßigen Ressourcenverbrauch bei der Verarbeitung speziell gestalteter TCP-Pakete (packet-of-death) zu verursachen. Die Probleme sind verursacht durch Fehler in den Handhabungen der maximalen Segmentgröße in TCP-Paketen (MSS, Maximum Segment Size) und dem Mechanismus zur selektiven Bestätigung von Verbindungen (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) – das Problem tritt in Linux-Kernels ab Version 2.6.29 auf und ermöglicht es, einen Kernel-Panic durch das Senden einer Reihe von SACK-Paketen auszulösen, was durch einen integer overflow im Handler verursacht wird. Für den Angriff reicht es aus, den Wert MSS für die TCP-Verbindung auf 48 Bytes (untere Grenze, legt die Segmentgröße auf 8 Bytes fest) zu setzen und eine Sequenz speziell kompilierter SACK-Pakete zu senden.

    Als Umgehungsmaßnahmen zur Sicherheit kann die Verarbeitung von SACK deaktiviert werden (0 in /proc/sys/net/ipv4/tcp_sack schreiben) oder Verbindungen mit niedrigem MSS blockiert werden (funktioniert nur, wenn sysctl net.ipv4.tcp_mtu_probing auf 0 gesetzt ist und kann einige normale Verbindungen mit niedrigem MSS beeinträchtigen);

  • CVE-2019-11478 (SACK Slowness) — führt zu Störungen im SACK-Mechanismus (bei Verwendung eines Linux-Kernels älter als 4.15) oder zu einer übermäßigen Ressourcennutzung. Das Problem tritt bei der Verarbeitung speziell gestalteter SACK-Pakete auf, die zum Fragmentieren der Paketwiederholungswarteschlange (TCP-Retransmission) verwendet werden können. Die Schutzumgehungen ähneln der vorherigen Schwachstelle;
  • CVE-2019-5599 (SACK Slowness) — ermöglicht die Fragmentierung der Karte gesendeter Pakete bei der Verarbeitung einer speziellen SACK-Sequenz innerhalb einer TCP-Verbindung, was zur Ausführung ressourcenintensiver Operationen bei der Überwachung der Liste führen kann. Das Problem tritt in FreeBSD 12 mit dem RACK-Paketverlustbestimmungsmechanismus auf. Als Abhilfemaßnahme kann das RACK-Modul deaktiviert werden;
  • CVE-2019-11479 — ein Angreifer kann im Linux-Kernel die Antworten in mehrere TCP-Segmente aufteilen, von denen jedes nur 8 Bytes Daten enthält, was zu einer erheblichen Erhöhung des Datenverkehrs, einer erhöhten CPU-Auslastung und einer Überlastung des Kommunikationskanals führen kann. Als Schutzmaßnahme wird empfohlen, Verbindungen mit niedrigem MSS Verbindungen mit niedrigem MSS.

    Im Linux-Kernel wurden Probleme in den Versionen 4.4.182, 4.9.182, 4.14.127, 4.19.52 und 5.1.11 behoben. Der Fix für FreeBSD ist als Patchverfügbar. In den Distributionen wurden bereits Updates für das Kernel-Paket veröffentlicht für Debian, RHEL, SUSE/openSUSE. Der Fix befindet sich in der Vorbereitung für Ubuntu, , aber bisher ist er noch nicht in und Arch Linux.

    Quelle: opennet.ru

  • Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster