ProHoster > Blog > internetes hírek > A Linux és a FreeBSD TCP-veremek biztonsági rései szolgáltatás távoli megtagadáshoz vezetnek
A Linux és a FreeBSD TCP-veremek biztonsági rései szolgáltatás távoli megtagadáshoz vezetnek
Netflix cég több kritikus Linux és FreeBSD TCP-veremekben, amelyek lehetővé teszik a kernelösszeomlás távoli kezdeményezését vagy túlzott erőforrás-felhasználást a speciálisan tervezett TCP-csomagok feldolgozása során (packet-of-death). Problémák a kezelők hibái a TCP-csomag maximális adatblokk-méretére (MSS, Maximum segment size) és a kapcsolatok szelektív nyugtázási mechanizmusára (SACK, TCP Selective Acknowledgement) vonatkoznak.
(SACK Panic) - egy probléma, amely a 2.6.29-től kezdődően megjelenik a Linux kernelekben, és lehetővé teszi, hogy kernelpánikot idézzen elő SACK csomagok sorozatának küldésével a kezelő egész szám túlcsordulása miatt. A támadáshoz elegendő egy TCP-kapcsolat MSS-értékét 48 bájtra beállítani (az alsó határ 8 bájtra állítja be a szegmens méretét), és meghatározott módon elrendezett SACK-csomagok sorozatát küldi.
Biztonsági megoldásként letilthatja a SACK feldolgozást (írja a 0-t a /proc/sys/net/ipv4/tcp_sack mappába), vagy alacsony MSS-kapcsolatok (csak akkor működik, ha a sysctl net.ipv4.tcp_mtu_probing értéke 0, és megszakíthat néhány normál alacsony MSS-kapcsolatot);
(SACK lassúsága) - a SACK mechanizmus megszakadásához (4.15-nél fiatalabb Linux kernel használata esetén) vagy túlzott erőforrás-felhasználáshoz vezet. A probléma speciálisan kialakított SACK-csomagok feldolgozása során jelentkezik, amelyek az újraküldési sor feldarabolására használhatók (TCP-újraküldés). A biztonsági megoldások hasonlóak az előző biztonsági réshez;
(SACK lassúsága) - lehetővé teszi az elküldött csomagok térképének töredezettségét, amikor egy speciális SACK szekvenciát dolgoz fel egyetlen TCP-kapcsolaton belül, és erőforrás-igényes listafelsorolási műveletet hajt végre. A probléma a FreeBSD 12-ben a RACK csomagvesztés-észlelési mechanizmussal jelentkezik. Megkerülő megoldásként letilthatja a RACK modult;
- egy támadó arra késztetheti, hogy a Linux kernel több TCP-szegmensre bontsa a válaszokat, amelyek mindegyike csak 8 bájtnyi adatot tartalmaz, ami jelentős forgalomnövekedéshez, megnövekedett CPU-terheléshez és a kommunikációs csatorna eltömődéséhez vezethet. Védelmi megoldásként ajánlott. alacsony MSS-kapcsolatok.
A Linux kernelben a problémákat a 4.4.182, 4.9.182, 4.14.127, 4.19.52 és 5.1.11 kiadásokban oldották meg. A FreeBSD javítása a következő néven érhető el . A disztribúciókban már megjelentek a kernelcsomagok frissítései , , . Korrekció az előkészítés során , и .
