ProHoster > Log > Internett-nyheter > Sårbarheter i Linux og FreeBSD TCP-stabler som fører til ekstern tjenestenekt

Sårbarheter i Linux og FreeBSD TCP-stabler som fører til ekstern tjenestenekt

Netflix-selskapet avslørt flere kritiske sårbarheter i Linux og FreeBSD TCP-stabler, som lar deg fjernstarte en kjernekrasj eller forårsake overdreven ressursforbruk når du behandler spesialdesignede TCP-pakker (packet-of-death). Problemer forårsaket av feil i behandlerne for maksimal datablokkstørrelse i en TCP-pakke (MSS, Maximum segment size) og mekanismen for selektiv bekreftelse av tilkoblinger (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - et problem som dukker opp i Linux-kjerner fra 2.6.29 og lar deg forårsake kjernepanikk ved å sende en serie SACK-pakker på grunn av et heltallsoverløp i behandleren. For å angripe er det nok å sette MSS-verdien for en TCP-forbindelse til 48 byte (den nedre grensen setter segmentstørrelsen til 8 byte) og sende en sekvens med SACK-pakker ordnet på en bestemt måte.

    Som sikkerhetsløsninger kan du deaktivere SACK-behandling (skriv 0 til /proc/sys/net/ipv4/tcp_sack) eller å blokkere tilkoblinger med lav MSS (fungerer bare når sysctl net.ipv4.tcp_mtu_probing er satt til 0 og kan forstyrre noen normale tilkoblinger med lav MSS);

  • CVE-2019-11478 (SACK Slowness) - fører til forstyrrelse av SACK-mekanismen (ved bruk av en Linux-kjerne yngre enn 4.15) eller overdreven ressursforbruk. Problemet oppstår ved behandling av spesiallagde SACK-pakker, som kan brukes til å fragmentere en retransmissionskø (TCP-retransmission). Sikkerhetsløsningene ligner på forrige sårbarhet;
  • CVE-2019-5599 (SACK Slowness) - lar deg forårsake fragmentering av kartet over sendte pakker når du behandler en spesiell SACK-sekvens innenfor en enkelt TCP-tilkobling og forårsake at en ressurskrevende listeoppregningsoperasjon utføres. Problemet dukker opp i FreeBSD 12 med RACK-mekanismen for deteksjon av pakketap. Som en løsning kan du deaktivere RACK-modulen;
  • CVE-2019-11479 - en angriper kan få Linux-kjernen til å dele svar i flere TCP-segmenter, som hver inneholder kun 8 byte med data, noe som kan føre til en betydelig økning i trafikk, økt CPU-belastning og tilstopping av kommunikasjonskanalen. Det anbefales som en løsning for beskyttelse. å blokkere tilkoblinger med lav MSS.

    I Linux-kjernen ble problemene løst i utgavene 4.4.182, 4.9.182, 4.14.127, 4.19.52 og 5.1.11. En rettelse for FreeBSD er tilgjengelig som lapp. I distribusjoner er det allerede utgitt oppdateringer til kjernepakker for Debian, RHEL, SUSE / openSUSE. Korrigering under forberedelse Ubuntu, Fedora и Arch Linux.

    Kilde: opennet.ru

    • Legg til en kommentar