ProHoster > Blog > naidheachdan eadar-lìn > So-leòntachd ann an cruachan Linux agus FreeBSD TCP a’ leantainn gu diùltadh seirbheis aig astar

So-leòntachd ann an cruachan Linux agus FreeBSD TCP a’ leantainn gu diùltadh seirbheis aig astar

Companaidh Netflix nochd grunn èiginneach so-leòntachd ann an cruachan Linux agus FreeBSD TCP, a leigeas leat tubaist kernel a thòiseachadh air astar no cus caitheamh ghoireasan adhbhrachadh nuair a bhios tu a’ giullachd phasganan TCP a chaidh an dealbhadh gu sònraichte (pacaid-bàis). Trioblaidean air adhbhrachadh le mearachdan anns an luchd-làimhseachaidh airson am meud bloca dàta as àirde ann am pasgan TCP (MSS, meud earrann as àirde) agus an uidheamachd airson aithne roghnach air ceanglaichean (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - duilgheadas a tha a’ nochdadh ann an kernels Linux a’ tòiseachadh bho 2.6.29 agus a leigeas leat clisgeadh kernel adhbhrachadh le bhith a’ cur sreath de phasganan SACK air sgàth thar-shruth iomlan anns an inneal-làimhseachaidh. Gus ionnsaigh a thoirt, tha e gu leòr an luach MSS airson ceangal TCP a shuidheachadh gu 48 bytes (tha a’ chrìoch as ìsle a’ suidheachadh meud na h-earrainn gu 8 bytes) agus sreath de phasganan SACK a chuir air dòigh ann an dòigh shònraichte.

    Mar fhuasglaidhean tèarainteachd, faodaidh tu giullachd SACK a chuir dheth (sgrìobh 0 gu / proc/sys/net/ipv4/tcp_sack) no bloc ceanglaichean le MSS ìosal (ag obair a-mhàin nuair a tha sysctl net.ipv4.tcp_mtu_probing air a shuidheachadh gu 0 agus dh’ fhaodadh e dragh a chuir air cuid de cheanglaichean àbhaisteach le MSS ìosal);

  • CVE-2019-11478 (SACK Slowness) - a’ leantainn gu briseadh air an inneal SACK (nuair a bhios tu a’ cleachdadh kernel Linux nas òige na 4.15) no cus caitheamh ghoireasan. Bidh an duilgheadas a’ tachairt nuair a bhios tu a’ giullachd phasganan SACK a chaidh an dèanamh gu sònraichte, a dh’ fhaodar a chleachdadh gus ciudha ath-chraoladh (ath-chraoladh TCP) a bhriseadh. Tha na raointean-obrach tèarainteachd coltach ris na so-leòntachd a bh’ ann roimhe;
  • CVE-2019-5599 (SACK Slowness) - a’ leigeil leat sgaradh a dhèanamh air mapa nam pacaidean a chaidh a chuir a-steach nuair a bhios tu a’ giullachd sreath sònraichte SACK taobh a-staigh aon cheangal TCP agus ag adhbhrachadh gun tèid gnìomhachd àireamhachd liosta làn ghoireasan a dhèanamh. Tha an duilgheadas a’ nochdadh ann an FreeBSD 12 leis an inneal lorg call pacaid RACK. Mar fhuasgladh, faodaidh tu am modal RACK a dhì-cheadachadh;
  • CVE-2019-11479 - faodaidh neach-ionnsaigh toirt air an kernel Linux freagairtean a roinn ann an grunn earrannan TCP, anns nach eil ach 8 bytes de dhàta anns gach fear dhiubh, a dh’ fhaodadh àrdachadh mòr ann an trafaic, barrachd luchdan CPU agus clogging an t-sianail conaltraidh adhbhrachadh. Tha e air a mholadh mar dhòigh-obrach airson dìon. bloc ceanglaichean le MSS ìosal.

    Anns an kernel Linux, chaidh na cùisean fhuasgladh ann am fiosan 4.4.182, 4.9.182, 4.14.127, 4.19.52, agus 5.1.11. Tha fuasgladh airson FreeBSD ri fhaighinn mar paiste. Ann an sgaoilidhean, chaidh ùrachaidhean gu pasganan kernel fhoillseachadh mu thràth airson Debian, RHEL, SUSE/openSUSE. Ceartachadh rè ullachadh Ubuntu, Fedora и Arch Linux.

    Source: fosgailtenet.ru

    • Cuir beachd ann