ProHoster > Blog > интернет жаңылыктары > Linux жана FreeBSD TCP стектериндеги алсыздыктар кызматтан алыстан баш тартууга алып келет

Linux жана FreeBSD TCP стектериндеги алсыздыктар кызматтан алыстан баш тартууга алып келет

Netflix компаниясы аныкталган бир нече сын алсыздыктар Linux жана FreeBSD TCP стектеринде, алар ядронун бузулушун алыстан баштоого же атайын иштелип чыккан TCP пакеттерин (өлүм пакети) иштетүүдө ресурстун ашыкча чыгымдалышына себеп болот. Көйгөйлөр менен шартталган TCP пакетиндеги маалымат блогунун максималдуу өлчөмү (MSS, сегменттин максималдуу өлчөмү) жана туташууларды тандап тастыктоо механизми (SACK, TCP Selective Acknowledgement) үчүн иштетүүчүлөрдөгү каталар.

  • CVE-2019-11477 (SACK Panic) - 2.6.29дан баштап Linux өзөктөрүндө пайда болгон көйгөй жана иштеткичте бүтүн сандардын ашып кетишинен улам SACK пакеттеринин сериясын жөнөтүү аркылуу ядро ​​паникасын жаратууга мүмкүндүк берет. Чабуул кылуу үчүн TCP туташуусу үчүн MSS маанисин 48 байтка коюу (төмөнкү чек сегменттин өлчөмүн 8 байтка чейин белгилейт) жана белгилүү бир жол менен тизилген SACK пакеттеринин ырааттуулугун жөнөтүү жетиштүү.

    Коопсуздук чаралары катары, сиз SACK иштетүүнү өчүрө аласыз (/proc/sys/net/ipv0/tcp_sack дарегине 4 жазыңыз) же тосуу төмөн MSS менен байланыштар (sysctl net.ipv4.tcp_mtu_probing 0ге коюлганда гана иштейт жана MSS төмөн болгон кээ бир кадимки байланыштарды үзгүлтүккө учуратышы мүмкүн);

  • CVE-2019-11478 (SACK Slowness) - SACK механизминин бузулушуна (4.15 жаштан кичине Linux ядросун колдонууда) же ашыкча ресурстун керектелишине алып келет. Көйгөй атайын иштелип чыккан SACK пакеттерин иштетүүдө пайда болот, аларды кайра жөнөтүү кезегин (TCP ретрансляциясы) бөлүү үчүн колдонсо болот. Коопсуздукту чечүү жолдору мурунку аялуулукка окшош;
  • CVE-2019-5599 (SACK Slowness) - бир TCP туташуусунда атайын SACK ырааттуулугун иштеп чыгууда жөнөтүлгөн пакеттердин картасынын фрагментациясын жаратууга жана ресурсту көп талап кылган тизмени санап чыгуу операциясын аткарууга мүмкүндүк берет. Көйгөй FreeBSD 12де RACK пакет жоготууларын аныктоо механизми менен пайда болот. Чечим катары сиз RACK модулун өчүрө аласыз;
  • CVE-2019-11479 - чабуулчу Linux ядросунун жоопторду бир нече TCP сегменттерине бөлүшүнө алып келиши мүмкүн, алардын ар бири 8 байт гана маалыматтарды камтыйт, бул трафиктин олуттуу өсүшүнө, CPU жүгүн жогорулатууга жана байланыш каналынын тыгынына алып келиши мүмкүн. Бул коргоо үчүн убактылуу чечим катары сунушталат. тосуу төмөн MSS менен байланыштар.

    Linux ядросунда маселелер 4.4.182, 4.9.182, 4.14.127, 4.19.52 жана 5.1.11 чыгарылыштарында чечилген. FreeBSD үчүн оңдоо катары жеткиликтүү жамаачы. Дистрибьюцияларда ядролук пакеттерге жаңыртуулар мурунтан эле чыгарылган Debian, RHEL, SUSE/openSUSE. Даярдоо учурунда оңдоо Ubuntu, Fedora и Arch Linux.

    Source: opennet.ru

    • Комментарий кошуу