ProHoster > Blog > berita internet > Kerentanan dalam tindanan Linux dan FreeBSD TCP yang membawa kepada penafian jauh perkhidmatan

Kerentanan dalam tindanan Linux dan FreeBSD TCP yang membawa kepada penafian jauh perkhidmatan

Syarikat Netflix didedahkan beberapa kritikal kelemahan dalam tindanan TCP Linux dan FreeBSD, yang membolehkan anda memulakan ranap kernel dari jauh atau menyebabkan penggunaan sumber yang berlebihan apabila memproses paket TCP yang direka khas (paket kematian). Masalah disebabkan oleh ralat dalam pengendali untuk saiz blok data maksimum dalam paket TCP (MSS, Saiz segmen maksimum) dan mekanisme untuk pengakuan terpilih bagi sambungan (SACK, TCP Selective Acknowledgment).

  • CVE-2019 11477- (SACK Panic) - masalah yang muncul dalam kernel Linux bermula dari 2.6.29 dan membolehkan anda menyebabkan panik kernel dengan menghantar satu siri paket SACK disebabkan limpahan integer dalam pengendali. Untuk menyerang, cukup untuk menetapkan nilai MSS untuk sambungan TCP kepada 48 bait (had bawah menetapkan saiz segmen kepada 8 bait) dan menghantar urutan paket SACK yang disusun dengan cara tertentu.

    Sebagai penyelesaian keselamatan, anda boleh melumpuhkan pemprosesan SACK (tulis 0 ke /proc/sys/net/ipv4/tcp_sack) atau untuk menyekat sambungan dengan MSS rendah (hanya berfungsi apabila sysctl net.ipv4.tcp_mtu_probing ditetapkan kepada 0 dan mungkin mengganggu beberapa sambungan biasa dengan MSS rendah);

  • CVE-2019 11478- (SACK Slowness) - membawa kepada gangguan mekanisme SACK (apabila menggunakan kernel Linux lebih muda daripada 4.15) atau penggunaan sumber yang berlebihan. Masalah berlaku apabila memproses paket SACK yang dibuat khas, yang boleh digunakan untuk memecah baris gilir penghantaran semula (penghantaran semula TCP). Penyelesaian keselamatan adalah serupa dengan kelemahan sebelumnya;
  • CVE-2019 5599- (SACK Slowness) - membolehkan anda menyebabkan pemecahan peta paket yang dihantar apabila memproses jujukan SACK khas dalam satu sambungan TCP dan menyebabkan operasi penghitungan senarai intensif sumber dilakukan. Masalahnya muncul dalam FreeBSD 12 dengan mekanisme pengesanan kehilangan paket RACK. Sebagai penyelesaian, anda boleh melumpuhkan modul RACK;
  • CVE-2019 11479- - penyerang boleh menyebabkan kernel Linux membahagikan respons kepada beberapa segmen TCP, setiap satunya mengandungi hanya 8 bait data, yang boleh membawa kepada peningkatan trafik yang ketara, peningkatan beban CPU dan saluran komunikasi tersumbat. Ia disyorkan sebagai penyelesaian untuk perlindungan. untuk menyekat sambungan dengan MSS rendah.

    Dalam kernel Linux, isu telah diselesaikan dalam keluaran 4.4.182, 4.9.182, 4.14.127, 4.19.52 dan 5.1.11. Pembetulan untuk FreeBSD tersedia sebagai tampalan. Dalam pengedaran, kemas kini kepada pakej kernel telah dikeluarkan untuk Debian, RHEL, SUSE/openSUSE. Pembetulan semasa penyediaan Ubuntu, Fedora ΠΈ Arch Linux.

    Sumber: opennet.ru

    • Tambah komen