ProHoster > Блог > interretaj novaĵoj > Vundeblecoj en Linukso kaj FreeBSD TCP-stakoj kondukantaj al malproksima servoneo

Vundeblecoj en Linukso kaj FreeBSD TCP-stakoj kondukantaj al malproksima servoneo

Netflix Kompanio rivelis pluraj kritikaj vundeblecoj en Linukso kaj FreeBSD TCP-stakoj, kiuj ebligas al vi malproksime iniciati kernan kraŝon aŭ kaŭzi troan konsumon de rimedo dum prilaborado de speciale desegnitaj TCP-pakaĵoj (paketo-de-morto). Problemoj kaŭzita de eraroj en la prizorgantoj por la maksimuma datumblokgrandeco en TCP-pakaĵeto (MSS, Maksimuma segmentgrandeco) kaj la mekanismo por selektema agnosko de ligoj (SAKO, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SAKO-Paniko) - problemo, kiu aperas en Linukso-kernoj ekde 2.6.29 kaj ebligas al vi kaŭzi kernan panikon sendante serion da SAK-pakaĵoj pro entjera superfluo en la prizorganto. Por ataki, sufiĉas agordi la MSS-valoron por TCP-konekto al 48 bajtoj (la malsupra limo fiksas la segmentgrandecon al 8 bajtoj) kaj sendi sekvencon de SACK-pakaĵoj aranĝitaj laŭ certa maniero.

    Kiel sekurecaj solvoj, vi povas malŝalti SACK-pretigon (skribi 0 al /proc/sys/net/ipv4/tcp_sack) aŭ bloki konektoj kun malalta MSS (funkcias nur kiam sysctl net.ipv4.tcp_mtu_probing estas agordita al 0 kaj povas interrompi iujn normalajn konektojn kun malalta MSS);

  • CVE-2019-11478 (SACK Slowness) - kondukas al interrompo de la SACK-mekanismo (dum uzado de Linukso-kerno pli juna ol 4.15) aŭ troa rimedkonsumo. La problemo okazas dum prilaborado de speciale kreitaj SACK-pakaĵoj, kiuj povas esti uzataj por fragmentigi retranssendovicon (TCP-retranssendo). La sekurecaj solvoj estas similaj al la antaŭa vundebleco;
  • CVE-2019-5599 (SAKO Malrapideco) - ebligas al vi kaŭzi fragmentiĝon de la mapo de senditaj pakaĵoj dum prilaborado de speciala SACK-sekvenco ene de ununura TCP-konekto kaj kaŭzi rimed-intensan listan listan operacion esti farita. La problemo aperas en FreeBSD 12 kun la mekanismo de detektado de pakaĵeto RACK. Kiel solvo, vi povas malŝalti la RACK-modulon;
  • CVE-2019-11479 - Atakanto povas igi la Linuksan kernon dividi respondojn en plurajn TCP-segmentojn, ĉiu el kiuj enhavas nur 8 bajtojn da datumoj, kio povas konduki al grava pliiĝo de trafiko, pliigita CPU-ŝarĝo kaj ŝtopiĝo de la komunika kanalo. Ĝi estas rekomendita kiel solvo por protekto. bloki konektoj kun malalta MSS.

    En la Linukso-kerno, la problemoj estis solvitaj en eldonoj 4.4.182, 4.9.182, 4.14.127, 4.19.52 kaj 5.1.11. Riparo por FreeBSD disponeblas kiel flikaĵo. En distribuoj, ĝisdatigoj al kernaj pakoj jam estis publikigitaj por Debian, RELO, SUSE/malfermuSUSE. Korekto dum preparado ubuntu, Fedora и Arch Linukso.

    fonto: opennet.ru

    • Aldoni komenton