ProHoster > Blog > noticias de internet > Vulnerabilidades nas pilas TCP de Linux e FreeBSD que conducen á denegación de servizo remota

Vulnerabilidades nas pilas TCP de Linux e FreeBSD que conducen á denegación de servizo remota

Compañía Netflix revelado varios críticos vulnerabilidades en pilas TCP de Linux e FreeBSD, que permiten iniciar remotamente un fallo do núcleo ou provocar un consumo excesivo de recursos ao procesar paquetes TCP deseñados especialmente (paquete de morte). Problemas causado por erros nos controladores para o tamaño máximo de bloque de datos nun paquete TCP (MSS, Tamaño máximo de segmento) e o mecanismo para o recoñecemento selectivo de conexións (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - un problema que aparece nos núcleos Linux a partir da 2.6.29 e permítelle provocar un pánico no núcleo enviando unha serie de paquetes SACK debido a un desbordamento de enteiros no manejador. Para atacar, abonda con establecer o valor MSS para unha conexión TCP en 48 bytes (o límite inferior establece o tamaño do segmento en 8 bytes) e enviar unha secuencia de paquetes SACK dispostos dun xeito determinado.

    Como solucións de seguridade, pode desactivar o procesamento de SACK (escribir 0 en /proc/sys/net/ipv4/tcp_sack) ou bloquear conexións con MSS baixo (funciona só cando sysctl net.ipv4.tcp_mtu_probing está configurado en 0 e pode interromper algunhas conexións normais con MSS baixo);

  • CVE-2019-11478 (SACK Slowness) - leva á interrupción do mecanismo SACK (ao usar un núcleo Linux menor de 4.15) ou un consumo excesivo de recursos. O problema ocorre ao procesar paquetes SACK especialmente elaborados, que se poden usar para fragmentar unha cola de retransmisión (retransmisión TCP). As solucións de seguridade son similares á vulnerabilidade anterior;
  • CVE-2019-5599 (SACK Slowness) - permítelle provocar a fragmentación do mapa de paquetes enviados ao procesar unha secuencia especial de SACK dentro dunha única conexión TCP e facer que se realice unha operación de enumeración de listas con uso intensivo de recursos. O problema aparece en FreeBSD 12 co mecanismo de detección de perda de paquetes RACK. Como solución alternativa, pode desactivar o módulo RACK;
  • CVE-2019-11479 - un atacante pode facer que o núcleo de Linux divida as respostas en varios segmentos TCP, cada un dos cales contén só 8 bytes de datos, o que pode provocar un aumento significativo do tráfico, un aumento da carga da CPU e un atasco da canle de comunicación. Recoméndase como solución alternativa para a protección. bloquear conexións con baixo MSS.

    No núcleo de Linux, os problemas resolvéronse nas versións 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. Unha corrección para FreeBSD está dispoñible como parche. Nas distribucións, xa se publicaron actualizacións dos paquetes do núcleo para Debian, RHEL, SUSE/openSUSE. Corrección durante a preparación Ubuntu, Fedora и Arch Linux.

    Fonte: opennet.ru

    • Engadir un comentario