ProHoster > Blog > netfréttir > Veikleikar í Linux og FreeBSD TCP stafla sem leiða til fjarlægrar afneitun á þjónustu

Veikleikar í Linux og FreeBSD TCP stafla sem leiða til fjarlægrar afneitun á þjónustu

Netflix fyrirtæki í ljós nokkrir gagnrýnir varnarleysi í Linux og FreeBSD TCP stafla, sem gerir þér kleift að fjarstýra kjarnahruni eða valda of mikilli auðlindanotkun við vinnslu sérhannaðra TCP pakka (packet-of-death). Vandamál orsakað af villur í meðhöndlunum fyrir hámarksstærð gagnablokka í TCP pakka (MSS, Hámarkshlutastærð) og kerfi fyrir sértæka viðurkenningu á tengingum (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - vandamál sem birtist í Linux kjarna frá og með 2.6.29 og gerir þér kleift að valda kjarna læti með því að senda röð af SACK pakka vegna heiltalna flæðis í meðhöndluninni. Til að ráðast á er nóg að stilla MSS gildi fyrir TCP tengingu á 48 bæti (neðri mörkin setja hlutastærðina á 8 bæti) og senda röð af SACK pökkum raðað á ákveðinn hátt.

    Sem öryggislausn geturðu slökkt á SACK-vinnslu (skrifaðu 0 í /proc/sys/net/ipv4/tcp_sack) eða að loka fyrir tengingar með lágt MSS (virkar aðeins þegar sysctl net.ipv4.tcp_mtu_probing er stillt á 0 og gæti truflað sumar eðlilegar tengingar með lágt MSS);

  • CVE-2019-11478 (SACK Slowness) - leiðir til truflunar á SACK vélbúnaðinum (þegar Linux kjarna er yngri en 4.15) eða of mikillar auðlindanotkunar. Vandamálið kemur upp þegar unnið er úr sérsmíðuðum SACK pakka, sem hægt er að nota til að sundra endursendingarröð (TCP endursending). Öryggisúrræðin eru svipuð og fyrri varnarleysi;
  • CVE-2019-5599 (SACK Slowness) - gerir þér kleift að valda sundrungu á korti sendra pakka þegar þú vinnur úr sérstakri SACK röð innan einni TCP tengingar og veldur því að auðlindafreka listaupptalning er framkvæmd. Vandamálið birtist í FreeBSD 12 með RACK pakkatapsskynjunarbúnaðinum. Sem lausn geturðu slökkt á RACK einingunni;
  • CVE-2019-11479 - árásarmaður getur valdið því að Linux kjarnann skipti svörum í nokkra TCP hluta, sem hver um sig inniheldur aðeins 8 bæti af gögnum, sem getur leitt til verulegrar aukningar á umferð, aukins CPU álags og stíflu á samskiptarásinni. Það er mælt með því sem lausn fyrir vernd. að loka fyrir tengingar með lágum MSS.

    Í Linux kjarnanum voru vandamálin leyst í útgáfum 4.4.182, 4.9.182, 4.14.127, 4.19.52 og 5.1.11. Lagfæring fyrir FreeBSD er fáanleg sem plástur. Í dreifingum hafa uppfærslur á kjarnapakka þegar verið gefnar út fyrir Debian, RHEL, SUSE/openSUSE. Leiðrétting við undirbúning ubuntu, Fedora и Arch Linux.

    Heimild: opennet.ru

    • Bæta við athugasemd