ProHoster > blog > berita internet > Kerentanan di tumpukan TCP Linux dan FreeBSD yang menyebabkan penolakan layanan jarak jauh

Kerentanan di tumpukan TCP Linux dan FreeBSD yang menyebabkan penolakan layanan jarak jauh

Perusahaan Netflix mengungkapkan beberapa kritis kerentanan di tumpukan TCP Linux dan FreeBSD, yang memungkinkan Anda memulai kerusakan kernel dari jarak jauh atau menyebabkan konsumsi sumber daya yang berlebihan saat memproses paket TCP yang dirancang khusus (paket kematian). Masalah disebabkan oleh kesalahan pada penangan ukuran blok data maksimum dalam paket TCP (MSS, Ukuran segmen maksimum) dan mekanisme pengakuan koneksi selektif (SACK, Pengakuan Selektif TCP).

  • CVE-2019-11477 (SACK Panic) - masalah yang muncul di kernel Linux mulai dari 2.6.29 dan memungkinkan Anda menyebabkan kepanikan kernel dengan mengirimkan serangkaian paket SACK karena integer overflow di handler. Untuk menyerang, cukup dengan mengatur nilai MSS untuk koneksi TCP menjadi 48 byte (batas bawah menetapkan ukuran segmen menjadi 8 byte) dan mengirimkan urutan paket SACK yang diatur dengan cara tertentu.

    Sebagai solusi keamanan, Anda dapat menonaktifkan pemrosesan SACK (tulis 0 ke /proc/sys/net/ipv4/tcp_sack) atau memblokir koneksi dengan MSS rendah (hanya berfungsi ketika sysctl net.ipv4.tcp_mtu_probing diatur ke 0 dan dapat mengganggu beberapa koneksi normal dengan MSS rendah);

  • CVE-2019-11478 (SACK Slowness) - menyebabkan gangguan pada mekanisme SACK (saat menggunakan kernel Linux yang lebih muda dari 4.15) atau konsumsi sumber daya yang berlebihan. Masalah terjadi saat memproses paket SACK yang dibuat khusus, yang dapat digunakan untuk memecah antrian transmisi ulang (transmisi ulang TCP). Solusi keamanan serupa dengan kerentanan sebelumnya;
  • CVE-2019-5599 (SACK Slowness) - memungkinkan Anda menyebabkan fragmentasi peta paket yang dikirim saat memproses urutan SACK khusus dalam satu koneksi TCP dan menyebabkan operasi enumerasi daftar intensif sumber daya dilakukan. Masalah muncul di FreeBSD 12 dengan mekanisme deteksi kehilangan paket RACK. Sebagai solusinya, Anda dapat menonaktifkan modul RACK;
  • CVE-2019-11479 - penyerang dapat menyebabkan kernel Linux membagi respons menjadi beberapa segmen TCP, yang masing-masing hanya berisi 8 byte data, yang dapat menyebabkan peningkatan lalu lintas yang signifikan, peningkatan beban CPU, dan penyumbatan saluran komunikasi. Ini direkomendasikan sebagai solusi perlindungan. memblokir koneksi dengan MSS rendah.

    Di kernel Linux, masalah diselesaikan di rilis 4.4.182, 4.9.182, 4.14.127, 4.19.52, dan 5.1.11. Perbaikan untuk FreeBSD tersedia sebagai tambalan. Dalam distribusi, pembaruan untuk paket kernel telah dirilis Debian, RHEL, SUSE/bukaSUSE. Koreksi selama persiapan Ubuntu, Fedora ΠΈ Arch Linux.

    Sumber: opennet.ru

    • Tambah komentar