ProHoster > Блог > warta internet > Kerentanan ing tumpukan TCP Linux lan FreeBSD sing ndadékaké penolakan layanan remot

Kerentanan ing tumpukan TCP Linux lan FreeBSD sing ndadékaké penolakan layanan remot

Perusahaan Netflix dicethakaké sawetara kritis vulnerabilities ing tumpukan TCP Linux lan FreeBSD, sing ngidini sampeyan miwiti kacilakan kernel saka adoh utawa nyebabake konsumsi sumber daya sing akeh banget nalika ngolah paket TCP sing dirancang khusus (paket-mati). Masalah disebabake dening kasalahan ing pawang kanggo ukuran pemblokiran data maksimum ing paket TCP (MSS, ukuran bagean maksimum) lan mekanisme kanggo selektif ngakoni sambungan (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - masalah sing katon ing kernels Linux wiwit 2.6.29 lan ngijini sampeyan kanggo nimbulaké gupuh kernel dening ngirim seri saka paket SACK amarga overflow integer ing handler. Kanggo nyerang, cukup nyetel nilai MSS kanggo sambungan TCP dadi 48 bait (wates ngisor nyetel ukuran segmen dadi 8 bait) lan ngirim urutan paket SACK sing disusun kanthi cara tartamtu.

    Minangka solusi keamanan, sampeyan bisa mateni pangolahan SACK (tulis 0 menyang /proc/sys/net/ipv4/tcp_sack) utawa kanggo mblokir sambungan karo MSS kurang (mung dianggo nalika sysctl net.ipv4.tcp_mtu_probing disetel kanggo 0 lan bisa ngganggu sawetara sambungan normal karo MSS kurang);

  • CVE-2019-11478 (SACK Slowness) - ndadékaké kanggo gangguan saka mekanisme SACK (nalika nggunakake kernel Linux luwih enom saka 4.15) utawa konsumsi sumber gedhe banget. Masalah kasebut kedadeyan nalika ngolah paket SACK sing digawe khusus, sing bisa digunakake kanggo mecah antrian transmisi ulang (transmisi ulang TCP). Solusi keamanan padha karo kerentanan sadurunge;
  • CVE-2019-5599 (SACK Slowness) - ngidini sampeyan nyebabake fragmentasi peta paket sing dikirim nalika ngolah urutan SACK khusus ing sambungan TCP siji lan nyebabake operasi enumerasi dhaptar sumber daya sing intensif. Masalah katon ing FreeBSD 12 karo mekanisme deteksi mundhut paket RACK. Minangka workaround, sampeyan bisa mateni modul RACK;
  • CVE-2019-11479 - panyerang bisa nyebabake kernel Linux pamisah respon dadi sawetara segmen TCP, sing saben-saben mung ngemot 8 bita data, sing bisa nyebabake paningkatan lalu lintas sing signifikan, tambah beban CPU lan saluran komunikasi sing macet. Disaranake minangka solusi kanggo proteksi. kanggo mblokir sambungan karo MSS kurang.

    Ing kernel Linux, masalah dirampungake ing rilis 4.4.182, 4.9.182, 4.14.127, 4.19.52, lan 5.1.11. A fix kanggo FreeBSD kasedhiya minangka tembelan. Ing distribusi, nganyari paket kernel wis dirilis kanggo Debian, RHEL, SUSE/openSUSE. Koreksi sajrone persiapan ubuntu, Fedora и Linux Arch.

    Source: opennet.ru

    • Add a comment