ProHoster > Blog > actualités internet > Vulnérabilités dans les piles TCP Linux et FreeBSD conduisant à un déni de service à distance

Vulnérabilités dans les piles TCP Linux et FreeBSD conduisant à un déni de service à distance

Société Netflix révélé plusieurs critiques vulnérabilités dans les piles TCP Linux et FreeBSD, qui vous permettent de déclencher à distance un crash du noyau ou de provoquer une consommation excessive de ressources lors du traitement de paquets TCP spécialement conçus (paquet de mort). Problèmes causé par les erreurs dans les gestionnaires de la taille maximale des blocs de données dans un paquet TCP (MSS, Maximum segment size) et le mécanisme d'accusé de réception sélectif des connexions (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - un problème qui apparaît dans les noyaux Linux à partir de la version 2.6.29 et permet de provoquer une panique du noyau en envoyant une série de paquets SACK en raison d'un débordement d'entier dans le gestionnaire. Pour attaquer, il suffit de fixer la valeur MSS pour une connexion TCP à 48 octets (la limite inférieure fixe la taille du segment à 8 octets) et d'envoyer une séquence de paquets SACK disposés d'une certaine manière.

    Comme solution de sécurité, vous pouvez désactiver le traitement SACK (écrire 0 dans /proc/sys/net/ipv4/tcp_sack) ou bloquer connexions avec un faible MSS (fonctionne uniquement lorsque sysctl net.ipv4.tcp_mtu_probing est défini sur 0 et peut perturber certaines connexions normales avec un faible MSS) ;

  • CVE-2019-11478 (Lenteur SACK) - entraîne une perturbation du mécanisme SACK (lors de l'utilisation d'un noyau Linux inférieur à 4.15) ou une consommation excessive de ressources. Le problème survient lors du traitement de paquets SACK spécialement conçus, qui peuvent être utilisés pour fragmenter une file d'attente de retransmission (retransmission TCP). Les solutions de sécurité sont similaires à la vulnérabilité précédente ;
  • CVE-2019-5599 (Lenteur SACK) - vous permet de provoquer une fragmentation de la carte des paquets envoyés lors du traitement d'une séquence SACK spéciale au sein d'une seule connexion TCP et de provoquer l'exécution d'une opération d'énumération de liste gourmande en ressources. Le problème apparaît dans FreeBSD 12 avec le mécanisme de détection de perte de paquets RACK. Pour contourner le problème, vous pouvez désactiver le module RACK ;
  • CVE-2019-11479 - un attaquant peut amener le noyau Linux à diviser les réponses en plusieurs segments TCP, dont chacun ne contient que 8 octets de données, ce qui peut entraîner une augmentation significative du trafic, une augmentation de la charge CPU et un colmatage du canal de communication. Il est recommandé comme solution de contournement pour la protection. bloquer connexions avec un faible MSS.

    Dans le noyau Linux, les problèmes ont été résolus dans les versions 4.4.182, 4.9.182, 4.14.127, 4.19.52 et 5.1.11. Un correctif pour FreeBSD est disponible sous correctif. Dans les distributions, des mises à jour des packages du noyau ont déjà été publiées pour Debian, RHEL, SUSE / openSUSE. Correction lors de la préparation Ubuntu, Fedora и Arch Linux.

    Source: opennet.ru

    • Ajouter un commentaire