ProHoster > Blogi > internetiuudised > Linuxi ja FreeBSD TCP-virnade haavatavused, mis põhjustavad kaugteenuse keelamise

Linuxi ja FreeBSD TCP-virnade haavatavused, mis põhjustavad kaugteenuse keelamise

Netflixi ettevõte paljastatud mitu kriitilist haavatavused Linuxi ja FreeBSD TCP-virnades, mis võimaldavad kaugjuhtimisega algatada kerneli krahhi või põhjustada liigset ressursikulu spetsiaalselt loodud TCP-pakettide töötlemisel (packet-of-death). Probleemid põhjustatud vead töötlejates maksimaalse andmeploki suuruse jaoks TCP-paketis (MSS, Maximum segment size) ja ühenduste selektiivse kinnitamise mehhanismi jaoks (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - probleem, mis ilmneb Linuxi tuumades alates versioonist 2.6.29 ja võimaldab teil tekitada kerneli paanikat, saates SACK-pakettide seeria töötleja täisarvude ülevoolu tõttu. Rünnakuks piisab, kui määrata TCP-ühenduse MSS-i väärtuseks 48 baiti (alumine piir seab segmendi suuruseks 8 baiti) ja saata teatud viisil järjestatud SACK-pakettide jada.

    Turvalahendusena saate SACK-i töötlemise keelata (kirjutada 0 faili /proc/sys/net/ipv4/tcp_sack) või blokeerida madala MSS-iga ühendused (töötab ainult siis, kui sysctl net.ipv4.tcp_mtu_probing on seatud väärtusele 0 ja võib häirida mõningaid madala MSS-iga tavalisi ühendusi);

  • CVE-2019-11478 (SACK Slowness) - põhjustab SACK-i mehhanismi häireid (kui kasutate Linuxi tuuma, mis on noorem kui 4.15) või liigset ressursside tarbimist. Probleem ilmneb spetsiaalselt koostatud SACK-pakettide töötlemisel, mida saab kasutada kordusedastusjärjekorra fragmenteerimiseks (TCP kordusedastus). Turvalahendused on sarnased eelmise haavatavusega;
  • CVE-2019-5599 (SACK Slowness) - võimaldab ühe TCP-ühenduse piires spetsiaalse SACK-jada töötlemisel põhjustada saadetud pakettide kaardi killustumist ja põhjustada ressursimahuka loendi loendusoperatsiooni. FreeBSD 12-s ilmneb probleem RACK-paketikao tuvastamise mehhanismiga. Lahendusena saate RACK-mooduli keelata;
  • CVE-2019-11479 - ründaja võib panna Linuxi tuuma jagama vastused mitmeks TCP segmendiks, millest igaüks sisaldab ainult 8 baiti andmeid, mis võib kaasa tuua liikluse olulise suurenemise, protsessori koormuse suurenemise ja sidekanali ummistumise. Seda soovitatakse kaitseks lahendusena. blokeerida ühendused madala MSS-iga.

    Linuxi tuumas lahendati probleemid versioonides 4.4.182, 4.9.182, 4.14.127, 4.19.52 ja 5.1.11. FreeBSD parandus on saadaval kujul plaaster. Distributsioonides on kernelipakettide värskendused juba välja antud Debian, RHEL, SUSE/openSUSE. Parandus ettevalmistamise ajal Ubuntu, Fedora и Arch Linux.

    Allikas: opennet.ru

    • Lisa kommentaar