ProHoster > Блог > интернет мэдээ > Линукс болон FreeBSD TCP стек дэх эмзэг байдал нь үйлчилгээнээс алсаас татгалзахад хүргэдэг

Линукс болон FreeBSD TCP стек дэх эмзэг байдал нь үйлчилгээнээс алсаас татгалзахад хүргэдэг

Netflix компани илчилсэн хэд хэдэн шүүмжлэлтэй эмзэг байдал Linux болон FreeBSD TCP стекүүд нь тусгайлан боловсруулсан TCP пакетуудыг (үхлийн багц) боловсруулах үед цөмийн эвдрэлийг алсаас эхлүүлэх эсвэл хэт их нөөцийн зарцуулалт үүсгэх боломжийг олгодог. Асуудлууд -ээс үүдэлтэй TCP пакет дахь өгөгдлийн блокийн хамгийн их хэмжээ (MSS, Хамгийн их сегментийн хэмжээ) болон холболтыг сонгон хүлээн зөвшөөрөх механизм (SACK, TCP Сонгомол хүлээн зөвшөөрөлт) -ийн зохицуулагчид дахь алдаа.

  • CVE-2019-11477 (SACK Panic) - 2.6.29-с эхлэн Линуксийн цөмд гарч ирдэг асуудал бөгөөд зохицуулагчийн бүхэл тоо хэтэрсэний улмаас хэд хэдэн SACK пакет илгээх замаар цөмийн үймээн үүсгэх боломжийг олгодог. Довтлохын тулд TCP холболтын MSS утгыг 48 байт болгож (доод хязгаар нь сегментийн хэмжээг 8 байт болгож) тохируулахад хангалттай бөгөөд тодорхой байдлаар байрлуулсан SACK пакетуудын дарааллыг илгээнэ.

    Аюулгүй байдлын шийдлийн хувьд та SACK боловсруулалтыг идэвхгүй болгож болно (/proc/sys/net/ipv0/tcp_sack руу 4 бичих) эсвэл блок бага MSS-тэй холболтууд (зөвхөн sysctl net.ipv4.tcp_mtu_probing-г 0 болгож тохируулсан үед л ажилладаг бөгөөд MSS багатай зарим ердийн холболтыг тасалдуулж болзошгүй);

  • CVE-2019-11478 (SACK Slowness) - SACK механизмын эвдрэл (4.15-аас доош насны Линукс цөм ашиглах үед) эсвэл нөөцийн хэт их зарцуулалтад хүргэдэг. Асуудал нь тусгайлан боловсруулсан SACK пакетуудыг боловсруулах үед үүсдэг бөгөөд үүнийг дахин дамжуулах дарааллыг (TCP дахин дамжуулах) хэсэгчлэн хувааж болно. Аюулгүй байдлын тойрон гарах арга замууд нь өмнөх сул талуудтай төстэй;
  • CVE-2019-5599 (SACK Slowness) - нэг TCP холболтын хүрээнд тусгай SACK дарааллыг боловсруулахдаа илгээсэн пакетуудын газрын зураг дээр хуваагдлыг үүсгэж, нөөц их шаарддаг жагсаалтыг тоолох үйлдлийг гүйцэтгэх боломжийг олгодог. Асуудал нь RACK пакетийн алдагдлыг илрүүлэх механизмтай FreeBSD 12 дээр гарч ирдэг. Товч шийдэл болгон та RACK модулийг идэвхгүй болгож болно;
  • CVE-2019-11479 - халдагч нь Линуксийн цөмийг хариуг хэд хэдэн TCP сегмент болгон хуваахад хүргэж болох бөгөөд тэдгээр нь тус бүр нь ердөө 8 байт өгөгдөл агуулдаг бөгөөд энэ нь траффик ихээхэн нэмэгдэж, CPU-ийн ачаалал нэмэгдэж, холбооны сувгийг бөглөрөхөд хүргэдэг. Үүнийг хамгаалах арга хэрэгсэл болгон ашиглахыг зөвлөж байна. блок MSS багатай холболтууд.

    Линуксийн цөмд 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11 хувилбаруудад асуудлыг шийдсэн. FreeBSD-д зориулсан засварыг дараах байдлаар авах боломжтой нөхөөс. Түгээлтийн хувьд цөмийн багцын шинэчлэлтүүд аль хэдийн гарсан байна Debian, RHEL, SUSE/openSUSE. Бэлтгэх явцад залруулга хийх Ubuntu, Федора и Arch Linux.

    Эх сурвалж: opennet.ru

    • сэтгэгдэл нэмэх