ProHoster > Blog > Internet-Nachrichten > Sicherheitsanfälligkeiten in den TCP-Stacks von Linux und FreeBSD, die zu einem Remote Denial-of-Service führen.
Sicherheitsanfälligkeiten in den TCP-Stacks von Linux und FreeBSD, die zu einem Remote Denial-of-Service führen.
Die Firma Netflix mehrere kritische in den TCP-Stacks von Linux und FreeBSD identifiziert, die es ermöglichen, das Kernel remote zum Absturz zu bringen oder übermäßigen Ressourcenverbrauch bei der Verarbeitung speziell gestalteter TCP-Pakete (packet-of-death) zu verursachen. Die Probleme Fehler in den Handhabungen der maximalen Segmentgröße in TCP-Paketen (MSS, Maximum Segment Size) und dem Mechanismus zur selektiven Bestätigung von Verbindungen (SACK, TCP Selective Acknowledgement).
(SACK Panic) – das Problem tritt in Linux-Kernels ab Version 2.6.29 auf und ermöglicht es, einen Kernel-Panic durch das Senden einer Reihe von SACK-Paketen auszulösen, was durch einen integer overflow im Handler verursacht wird. Für den Angriff reicht es aus, den Wert MSS für die TCP-Verbindung auf 48 Bytes (untere Grenze, legt die Segmentgröße auf 8 Bytes fest) zu setzen und eine Sequenz speziell kompilierter SACK-Pakete zu senden.
Als Umgehungsmaßnahmen zur Sicherheit kann die Verarbeitung von SACK deaktiviert werden (0 in /proc/sys/net/ipv4/tcp_sack schreiben) oder blockiert werden (funktioniert nur, wenn sysctl net.ipv4.tcp_mtu_probing auf 0 gesetzt ist und kann einige normale Verbindungen mit niedrigem MSS beeinträchtigen);
(SACK Slowness) — führt zu Störungen im SACK-Mechanismus (bei Verwendung eines Linux-Kernels älter als 4.15) oder zu einer übermäßigen Ressourcennutzung. Das Problem tritt bei der Verarbeitung speziell gestalteter SACK-Pakete auf, die zum Fragmentieren der Paketwiederholungswarteschlange (TCP-Retransmission) verwendet werden können. Die Schutzumgehungen ähneln der vorherigen Schwachstelle;
(SACK Slowness) — ermöglicht die Fragmentierung der Karte gesendeter Pakete bei der Verarbeitung einer speziellen SACK-Sequenz innerhalb einer TCP-Verbindung, was zur Ausführung ressourcenintensiver Operationen bei der Überwachung der Liste führen kann. Das Problem tritt in FreeBSD 12 mit dem RACK-Paketverlustbestimmungsmechanismus auf. Als Abhilfemaßnahme kann das RACK-Modul deaktiviert werden;
— ein Angreifer kann im Linux-Kernel die Antworten in mehrere TCP-Segmente aufteilen, von denen jedes nur 8 Bytes Daten enthält, was zu einer erheblichen Erhöhung des Datenverkehrs, einer erhöhten CPU-Auslastung und einer Überlastung des Kommunikationskanals führen kann. Als Schutzmaßnahme wird empfohlen, Verbindungen mit niedrigem MSS.
Im Linux-Kernel wurden Probleme in den Versionen 4.4.182, 4.9.182, 4.14.127, 4.19.52 und 5.1.11 behoben. Der Fix für FreeBSD ist als verfügbar. In den Distributionen wurden bereits Updates für das Kernel-Paket veröffentlicht für , , . Der Fix befindet sich in der Vorbereitung für , und .
Ein technischer Spezialist bei ProHoster mit über sechs Jahren Erfahrung in der Serveradministration, VPN-Lösungen und Netzwerksicherheit. Ich verwalte die Infrastruktur-Einrichtung und -unterstützung, überwache die Service-Stabilität und implementiere Lösungen zum Schutz der Kundendaten. Außerdem trage ich zur Leistungsoptimierung und Einhaltung der modernen Sicherheits- und Datenschutzanforderungen bei.
Wir verwenden Cookies, um die bestmögliche Erfahrung auf unserer Website zu gewährleisten. Durch die weitere Nutzung der Website stimmen Sie unserer Datenschutzrichtlinie zu.Akzeptieren
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster