„Linux“ ir „FreeBSD“ TCP paketų pažeidžiamumas, dėl kurio atsisakoma nuotoliniu būdu
„Netflix“ kompanija keletas kritinių Linux ir FreeBSD TCP stekuose, kurie leidžia nuotoliniu būdu inicijuoti branduolio gedimą arba sukelti pernelyg didelį išteklių suvartojimą apdorojant specialiai sukurtus TCP paketus (packet-of-death). Problemos klaidų tvarkyklėse dėl maksimalaus duomenų bloko dydžio TCP pakete (MSS, Maximum segment size) ir atrankinio jungčių patvirtinimo mechanizmo (SACK, TCP Selective Acknowledgement).
(SACK Panic) – problema, atsirandanti Linux branduoliuose nuo 2.6.29 ir leidžianti sukelti branduolio paniką siunčiant SACK paketų seriją dėl sveikųjų skaičių perpildymo tvarkyklėje. Norėdami atakuoti, pakanka nustatyti TCP ryšio MSS reikšmę iki 48 baitų (apatinė riba nustato segmento dydį iki 8 baitų) ir išsiųsti tam tikru būdu išdėstytų SACK paketų seką.
Kaip saugumo sprendimą galite išjungti SACK apdorojimą (įrašykite 0 į /proc/sys/net/ipv4/tcp_sack) arba žemas MSS ryšys (veikia tik tada, kai sysctl net.ipv4.tcp_mtu_probing nustatytas į 0 ir gali sutrikdyti kai kuriuos įprastus žemus MSS ryšius);
(SACK Slowness) – sutrinka SACK mechanizmas (kai naudojamas jaunesnis nei 4.15 versijos Linux branduolys) arba sunaudojama per daug išteklių. Problema kyla apdorojant specialiai sukurtus SACK paketus, kurie gali būti naudojami pakartotinio siuntimo eilės fragmentavimui (TCP pakartotinis siuntimas). Saugos problemos yra panašios į ankstesnį pažeidžiamumą;
(SACK Slowness) – leidžia suskaidyti išsiųstų paketų žemėlapį apdorojant specialią SACK seką per vieną TCP ryšį ir atlikti daug išteklių reikalaujančią sąrašo surašymo operaciją. Problema iškyla FreeBSD 12 su RACK paketų praradimo aptikimo mechanizmu. Kaip išeitis, galite išjungti RACK modulį;
- užpuolikas gali priversti „Linux“ branduolį padalinti atsakymus į kelis TCP segmentus, kurių kiekviename yra tik 8 baitai duomenų, todėl gali labai padidėti srautas, padidėti procesoriaus apkrova ir užsikimšti ryšio kanalas. Tai rekomenduojama kaip apsaugos priemonė. jungtys su žemu MSS.
„Linux“ branduolyje problemos buvo išspręstos 4.4.182, 4.9.182, 4.14.127, 4.19.52 ir 5.1.11 leidimuose. „FreeBSD“ pataisa pasiekiama kaip . Distribucijose jau buvo išleisti branduolio paketų naujinimai , , . Korekcija pasiruošimo metu , и .
