ProHoster > blog > internetnieuws > Kwetsbaarheden in Linux- en FreeBSD TCP-stacks die leiden tot denial-of-service op afstand

Kwetsbaarheden in Linux- en FreeBSD TCP-stacks die leiden tot denial-of-service op afstand

Netflix-bedrijf onthuld verschillende kritische kwetsbaarheden in Linux en FreeBSD TCP-stacks, waarmee u op afstand een kernelcrash kunt initiëren of overmatig gebruik van bronnen kunt veroorzaken bij het verwerken van speciaal ontworpen TCP-pakketten (packet-of-death). Problemen veroorzaakt door fouten in de handlers voor de maximale datablokgrootte in een TCP-pakket (MSS, Maximum segment size) en het mechanisme voor selectieve bevestiging van verbindingen (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - een probleem dat verschijnt in Linux-kernels vanaf 2.6.29 en waarmee je een kernelpanic kunt veroorzaken door een reeks SACK-pakketten te verzenden vanwege een integer-overflow in de handler. Om aan te vallen volstaat het om de MSS-waarde voor een TCP-verbinding in te stellen op 48 bytes (de ondergrens stelt de segmentgrootte in op 8 bytes) en een reeks SACK-pakketten te verzenden die op een bepaalde manier zijn gerangschikt.

    Als beveiligingsoplossing kunt u de SACK-verwerking uitschakelen (schrijf 0 naar /proc/sys/net/ipv4/tcp_sack) of blokkeren verbindingen met lage MSS (werkt alleen als sysctl net.ipv4.tcp_mtu_probing is ingesteld op 0 en kan sommige normale verbindingen met lage MSS verstoren);

  • CVE-2019-11478 (SACK Slowness) - leidt tot verstoring van het SACK-mechanisme (bij gebruik van een Linux-kernel jonger dan 4.15) of overmatig gebruik van hulpbronnen. Het probleem doet zich voor bij het verwerken van speciaal vervaardigde SACK-pakketten, die kunnen worden gebruikt om een ​​wachtrij voor hertransmissie (TCP-hertransmissie) te fragmenteren. De beveiligingsoplossingen zijn vergelijkbaar met de vorige kwetsbaarheid;
  • CVE-2019-5599 (SACK Slowness) - hiermee kunt u fragmentatie van de kaart van verzonden pakketten veroorzaken bij het verwerken van een speciale SACK-reeks binnen een enkele TCP-verbinding en ervoor zorgen dat een resource-intensieve lijstopsomming wordt uitgevoerd. Het probleem doet zich voor in FreeBSD 12 met het RACK-pakketverliesdetectiemechanisme. Als tijdelijke oplossing kunt u de RACK-module uitschakelen;
  • CVE-2019-11479 - een aanvaller kan ervoor zorgen dat de Linux-kernel de reacties opsplitst in verschillende TCP-segmenten, die elk slechts 8 bytes aan gegevens bevatten, wat kan leiden tot een aanzienlijke toename van het verkeer, een verhoogde CPU-belasting en verstopping van het communicatiekanaal. Het wordt aanbevolen als tijdelijke oplossing voor bescherming. blokkeren verbindingen met lage MSS.

    In de Linux-kernel zijn de problemen opgelost in releases 4.4.182, 4.9.182, 4.14.127, 4.19.52 en 5.1.11. Een oplossing voor FreeBSD is beschikbaar als lapje. In distributies zijn al updates voor kernelpakketten uitgebracht Debian, RHEL, SUSE/openSUSE. Correctie tijdens de voorbereiding Ubuntu, Fedora и Arch Linux.

    Bron: opennet.ru

    • Voeg een reactie