ProHoster > Blog > Interneteko albisteak > Linux eta FreeBSD TCP piletan ahultasunek urruneko zerbitzua ukatzea eragiten dute

Linux eta FreeBSD TCP piletan ahultasunek urruneko zerbitzua ukatzea eragiten dute

Netflix konpainia agerian hainbat kritiko ahultasunak Linux eta FreeBSD TCP piletan, kernelaren hutsegite bat urrunetik hastea edo baliabideen gehiegizko kontsumoa eragiteko aukera ematen dutenak bereziki diseinatutako TCP paketeak (packet-of-death) prozesatzen dituzunean. Arazoak eragindakoa TCP pakete bateko datu-blokeen gehienezko tamainaren kudeatzaileen erroreak (MSS, Gehienezko segmentu-tamaina) eta konexioen errekonozimendu selektiborako mekanismoa (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - 2.6.29tik hasita Linux nukleoetan agertzen den arazoa eta kudeatzailean osoko gainezka dagoelako SACK pakete sorta bat bidaliz nukleoaren izua eragiteko aukera ematen du. Erasoa egiteko, nahikoa da TCP konexio baterako MSS balioa 48 bytean ezartzea (beheko mugak 8 bytetan ezartzen du segmentuaren tamaina) eta modu jakin batean antolatutako SACK pakete sekuentzia bat bidaltzea.

    Segurtasun konponbide gisa, SACK prozesatzea desgai dezakezu (idatzi 0 /proc/sys/net/ipv4/tcp_sack-ra) edo blokeatu MSS baxuko konexioak (sysctl net.ipv4.tcp_mtu_probing 0-n ezartzen denean bakarrik funtzionatzen du eta MSS baxuko konexio normal batzuk eten ditzake);

  • CVE-2019-11478 (SACK Slowness) - SACK mekanismoa eten egiten du (4.15 baino gutxiagoko Linux kernel bat erabiltzen denean) edo baliabideen gehiegizko kontsumoa dakar. Arazoa bereziki landutako SACK paketeak prozesatzen direnean gertatzen da, birtransmisio-ilara (TCP retransmission) zatitzeko erabil daitezkeenak. Segurtasun konponbideak aurreko ahultasunaren antzekoak dira;
  • CVE-2019-5599 (SACK Slowness) - bidalitako paketeen mapa zatikatzea ahalbidetzen du TCP konexio bakarrean SACK sekuentzia berezi bat prozesatzen denean eta baliabideak asko erabiltzen dituen zerrenda zenbaketa eragiketa bat egitean. Arazoa FreeBSD 12-n agertzen da RACK paketeen galera detektatzeko mekanismoarekin. Konponbide gisa, RACK modulua desgaitu dezakezu;
  • CVE-2019-11479 - Erasotzaile batek Linux nukleoa erantzunak TCP segmentu batzuetan zatitzea eragin dezake, eta horietako bakoitzak 8 byte datu baino ez ditu, eta horrek trafikoa nabarmen handitu dezake, CPU karga areagotu eta komunikazio-kanala oztopatu dezake. Babeserako konponbide gisa gomendatzen da. blokeatu MSS baxuko konexioak.

    Linux nukleoan, arazoak 4.4.182, 4.9.182, 4.14.127, 4.19.52 eta 5.1.11 bertsioetan konpondu ziren. FreeBSDrako konponketa bat eskuragarri dago adabakia. Banaketetan, kernel paketeen eguneraketak kaleratu dira dagoeneko Debian, RHEL, SUSE/openSUSE. Prestaketa garaian zuzentzea Ubuntu, Fedora ΠΈ Arch Linux.

    Iturria: opennet.ru

    • Gehitu iruzkin berria