ProHoster > Blogi > netin uutisia > Linuxin ja FreeBSD:n TCP-pinojen haavoittuvuudet, jotka johtavat palvelun etäestoon
Linuxin ja FreeBSD:n TCP-pinojen haavoittuvuudet, jotka johtavat palvelun etäestoon
Netflix Company useita kriittisiä Linuxin ja FreeBSD:n TCP-pinoissa, jotka mahdollistavat ytimen kaatumisen etäkäynnistyksen tai liiallisen resurssien kulutuksen, kun käsitellään erityisesti suunniteltuja TCP-paketteja (packet-of-death). Ongelmia Käsittelijöiden virheet TCP-paketin enimmäisdatalohkokoon (MSS, Maximum segment size) ja yhteyksien selektiivisen kuittauksen mekanismin (SACK, TCP Selective Acknowledgement) osalta.
(SACK Panic) - ongelma, joka ilmenee Linux-ytimissä versiosta 2.6.29 alkaen ja jonka avulla voit aiheuttaa ytimen paniikin lähettämällä sarjan SACK-paketteja käsittelijän kokonaislukujen ylivuodon vuoksi. Hyökkäykseen riittää, että TCP-yhteyden MSS-arvoksi asetetaan 48 tavua (alaraja asettaa segmentin kooksi 8 tavua) ja lähetetään tietyllä tavalla järjestetty SACK-pakettien sarja.
Suojauksen kiertotapana voit poistaa SACK-käsittelyn käytöstä (kirjoita 0 hakemistoon /proc/sys/net/ipv4/tcp_sack) tai matalat MSS-yhteydet (toimii vain, kun sysctl net.ipv4.tcp_mtu_probing on asetettu arvoon 0 ja saattaa häiritä normaaleja matalia MSS-yhteyksiä);
(SACK Slowness) - johtaa SACK-mekanismin häiriöihin (kun käytetään Linux-ydintä, joka on nuorempi kuin 4.15) tai liialliseen resurssien kulutukseen. Ongelma ilmenee, kun käsitellään erityisesti muotoiltuja SACK-paketteja, joita voidaan käyttää uudelleenlähetysjonon (TCP-uudelleenlähetys) fragmentointiin. Suojauksen kiertotavat ovat samanlaisia kuin edellinen haavoittuvuus;
(SACK Slowness) - mahdollistaa lähetettyjen pakettien kartan pirstoutumisen, kun käsitellään erityistä SACK-sekvenssiä yhdessä TCP-yhteydessä, ja aiheuttaa resursseja vaativan luettelon luettelon suorittamisen. Ongelma ilmenee FreeBSD 12:ssa RACK-pakettien katoamisen havaitsemismekanismissa. Kiertotavana voit poistaa RACK-moduulin käytöstä.
- Hyökkääjä voi saada Linux-ytimen jakamaan vastaukset useisiin TCP-segmentteihin, joista jokainen sisältää vain 8 tavua dataa, mikä voi johtaa liikenteen merkittävään lisääntymiseen, prosessorin kuormituksen lisääntymiseen ja viestintäkanavan tukkeutumiseen. Sitä suositellaan suojautumiskeinona. yhteydet alhaisella MSS:llä.
Linux-ytimen ongelmat on ratkaistu julkaisuissa 4.4.182, 4.9.182, 4.14.127, 4.19.52 ja 5.1.11. Korjaus FreeBSD:lle on saatavilla muodossa . Jakeluissa päivityksiä ydinpaketteihin on jo julkaistu , , . Korjaus valmistelun aikana , и .
