ProHoster > Blog > nouvèl sou entènèt > Vilnerabilite nan pil Linux ak FreeBSD TCP ki mennen nan refi aleka nan sèvis

Vilnerabilite nan pil Linux ak FreeBSD TCP ki mennen nan refi aleka nan sèvis

Konpayi Netflix revele plizyè kritik frajilite yo nan Linux ak FreeBSD TCP pile, ki pèmèt ou adistans kòmanse yon aksidan nwayo oswa lakòz twòp konsomasyon resous lè w ap trete pake TCP ki fèt espesyalman (pake-of-death). Pwoblèm ki te koze pa erè nan moun k ap okipe yo pou gwosè maksimòm blòk done nan yon pake TCP (MSS, Gwosè segman maksimòm) ak mekanis pou rekonesans selektif koneksyon (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - yon pwoblèm ki parèt nan nwayo Linux kòmanse soti nan 2.6.29 epi ki pèmèt ou lakòz yon panik nwayo lè w voye yon seri pake SACK akòz yon debòde nonb antye relatif nan okipe a. Pou atake, li ase yo mete valè MSS pou yon koneksyon TCP a 48 bytes (limit ki pi ba a mete gwosè segman an 8 bytes) epi voye yon sekans pake SACK ranje nan yon sèten fason.

    Kòm solisyon sekirite, ou ka enfim pwosesis SACK (ekri 0 nan /proc/sys/net/ipv4/tcp_sack) oswa bloke koneksyon ak MSS ki ba (travay sèlman lè sysctl net.ipv4.tcp_mtu_probing mete sou 0 epi li ka deranje kèk koneksyon nòmal ak MSS ki ba);

  • CVE-2019-11478 (SACK Slowness) - mennen nan dezòd nan mekanis SACK la (lè w ap itilize yon nwayo Linux ki pi piti pase 4.15) oswa twòp konsomasyon resous. Pwoblèm nan rive lè w ap trete pake SACK espesyalman fabrike, ki ka itilize pou fragman yon keu retransmisyon (retransmisyon TCP). Solisyon sekirite yo sanble ak vilnerabilite anvan an;
  • CVE-2019-5599 (SACK Slowness) - pèmèt ou lakòz fwagmantasyon nan kat pakè yo voye lè w ap trete yon sekans SACK espesyal nan yon sèl koneksyon TCP epi lakòz yon operasyon enimilasyon lis ki gen anpil resous. Pwoblèm nan parèt nan FreeBSD 12 ak mekanis deteksyon pèt pake RACK la. Kòm yon solisyon, ou ka enfim modil RACK la;
  • CVE-2019-11479 - yon atakè ka lakòz nwayo Linux divize repons yo an plizyè segman TCP, chak nan yo gen sèlman 8 octets nan done, ki ka mennen nan yon ogmantasyon siyifikatif nan trafik, ogmante chaj CPU ak bouche nan kanal kominikasyon an. Li rekòmande kòm yon solisyon pou pwoteksyon. bloke koneksyon ak MSS ki ba.

    Nan nwayo Linux la, pwoblèm yo te rezoud nan degaje 4.4.182, 4.9.182, 4.14.127, 4.19.52, ak 5.1.11. Yon ranje pou FreeBSD disponib kòm plak. Nan distribisyon, mizajou nan pakè nwayo yo te deja lage pou dbyan, rhel, SUSE/openSUSE. Koreksyon pandan preparasyon an Ubentu, Feutr и Arch Linux.

    Sous: opennet.ru

    • Add nouvo kòmantè