ProHoster > Blog > Internet Neiegkeeten > Schwachstelle bei Linux a FreeBSD TCP Stacks féieren zu Remote Denial of Service

Schwachstelle bei Linux a FreeBSD TCP Stacks féieren zu Remote Denial of Service

Netflix Firma opgedeckt puer kritesch Schwachstelle a Linux a FreeBSD TCP-Stacken, déi Iech erlaben e Kernel Crash op afstand ze initiéieren oder exzessive Ressourceverbrauch ze verursaachen wann Dir speziell entworf TCP Pakete (Packet-of-Death) veraarbecht. Problemer verursaacht vun Feeler an den Handler fir déi maximal Dateblockgréisst an engem TCP Paket (MSS, Maximal Segmentgréisst) an de Mechanismus fir selektiv Unerkennung vu Verbindungen (SACK, TCP Selektiv Unerkennung).

  • CVE-2019-11477 (SACK Panic) - e Problem deen an Linux Kernels erschéngt ab 2.6.29 an erlaabt Iech eng Kernel Panik ze verursaachen andeems Dir eng Serie vu SACK Pakete schéckt wéinst engem ganzen Iwwerfloss am Handler. Fir unzegräifen ass et genuch fir den MSS-Wäert fir eng TCP-Verbindung op 48 Bytes ze setzen (déi ënnescht Limit setzt d'Segmentgréisst op 8 Bytes) an eng Rei vu SACK-Päckchen op eng gewësse Manéier arrangéiert ze schécken.

    Als Sécherheetsléisungen kënnt Dir SACK-Veraarbechtung auszeschalten (schreiwen 0 op /proc/sys/net/ipv4/tcp_sack) oder ze blockéieren Verbindunge mat nidderegen MSS (schafft nëmme wann sysctl net.ipv4.tcp_mtu_probing op 0 gesat ass a kann e puer normal Verbindunge mat nidderegen MSS stéieren);

  • CVE-2019-11478 (SACK Slowness) - féiert zu Stéierungen vum SACK Mechanismus (wann Dir e Linux Kernel méi jonk wéi 4.15 benotzt) oder exzessive Ressourceverbrauch. De Problem geschitt beim Veraarbechtung vu speziell erstallte SACK Päck, déi benotzt kënne fir eng Retransmission Queue (TCP Retransmission) ze fragmentéieren. D'Sécherheetsléisungen sinn ähnlech wéi déi fréier Schwachstelle;
  • CVE-2019-5599 (SACK Slowness) - erlaabt Iech Fragmentatioun vun der Kaart vu geschéckte Paketen ze verursaachen wann Dir eng speziell SACK Sequenz bannent enger eenzeger TCP Verbindung veraarbecht an eng Ressourceintensiv Lëscht Opzielungsoperatioun ausféiert. De Problem erschéngt am FreeBSD 12 mam RACK Packet Verloscht Detektiounsmechanismus. Als Léisung kënnt Dir de RACK Modul auszeschalten;
  • CVE-2019-11479 - en Ugräifer kann de Linux-Kernel verursaachen Äntwerten an e puer TCP-Segmenter opzedeelen, jidderee vun deenen nëmmen 8 Bytes vun Donnéeën enthält, wat zu enger wesentlecher Erhéijung vum Traffic, erhéicht CPU Belaaschtung a Verstoppung vum Kommunikatiounskanal féieren kann. Et ass recommandéiert als Léisung fir Schutz. ze blockéieren Verbindunge mat niddereg MSS.

    Am Linux Kernel goufen d'Problemer a Releases 4.4.182, 4.9.182, 4.14.127, 4.19.52 a 5.1.11 geléist. E Fix fir FreeBSD ass verfügbar als flécken. A Verdeelungen, Aktualiséierunge fir Kernel Packagen si scho verëffentlecht ginn Debian, RHEL, SUSE/openSUSE. Korrektur während der Virbereedung Ubuntu, Fedora и Arch Linux.

    Source: opennet.ru

    • Setzt e Commentaire