ProHoster > Blog > internetske vijesti > Ranjivosti u Linuxu i FreeBSD TCP skupovima dovode do daljinskog odbijanja usluge

Ranjivosti u Linuxu i FreeBSD TCP skupovima dovode do daljinskog odbijanja usluge

Tvrtka Netflix otkriveno nekoliko kritičnih ranjivosti u Linuxu i FreeBSD TCP skupovima, koji vam omogućuju da daljinski pokrenete pad kernela ili izazovete pretjeranu potrošnju resursa prilikom obrade posebno dizajniranih TCP paketa (packet-of-death). Problemi uzrokovano s greške u rukovateljima za maksimalnu veličinu podatkovnog bloka u TCP paketu (MSS, Maximum segment size) i mehanizam za selektivnu potvrdu veza (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - problem koji se pojavljuje u Linux kernelima počevši od 2.6.29 i omogućuje vam da izazovete kernel paniku slanjem niza SACK paketa zbog preljeva cijelog broja u rukovatelju. Za napad je dovoljno postaviti MSS vrijednost za TCP vezu na 48 bajtova (donja granica postavlja veličinu segmenta na 8 bajtova) i poslati slijed SACK paketa posloženih na određeni način.

    Kao sigurnosna rješenja, možete onemogućiti obradu SACK-a (upisati 0 u /proc/sys/net/ipv4/tcp_sack) ili blokirati veze s niskim MSS-om (radi samo kada je sysctl net.ipv4.tcp_mtu_probing postavljen na 0 i može poremetiti neke normalne veze s niskim MSS-om);

  • CVE-2019-11478 (SACK Sporost) - dovodi do poremećaja SACK mehanizma (kod korištenja Linux kernela mlađeg od 4.15) ili prekomjerne potrošnje resursa. Problem se javlja prilikom obrade posebno izrađenih SACK paketa, koji se mogu koristiti za fragmentiranje reda čekanja za ponovni prijenos (TCP ponovni prijenos). Sigurnosna rješenja slična su prethodnoj ranjivosti;
  • CVE-2019-5599 (Sporost SACK-a) - omogućuje vam da izazovete fragmentaciju mape poslanih paketa prilikom obrade posebne SACK sekvence unutar jedne TCP veze i izazovete izvođenje operacije enumeracije popisa koja zahtijeva resurse. Problem se pojavljuje u FreeBSD 12 s RACK mehanizmom za otkrivanje gubitka paketa. Kao zaobilazno rješenje, možete onemogućiti RACK modul;
  • CVE-2019-11479 - napadač može uzrokovati da Linux kernel podijeli odgovore u nekoliko TCP segmenata, od kojih svaki sadrži samo 8 bajtova podataka, što može dovesti do značajnog povećanja prometa, povećanog opterećenja CPU-a i začepljenja komunikacijskog kanala. Preporučuje se kao zaobilazno rješenje za zaštitu. blokirati veze s niskim MSS-om.

    U jezgri Linuxa problemi su riješeni u izdanjima 4.4.182, 4.9.182, 4.14.127, 4.19.52 i 5.1.11. Popravak za FreeBSD dostupan je kao zakrpa. U distribucijama su ažuriranja paketa kernela već izdana za Debian, RHEL, SUSE/openSUSE. Korekcija tijekom pripreme Ubuntu, Fedora и Arch Linux.

    Izvor: opennet.ru

    • Dodajte komentar