ProHoster > بلاګ > انټرنیټ خبرونه > په لینوکس او FreeBSD TCP سټیکونو کې زیان منونکي د لیرې پرتو خدماتو انکار لامل کیږي

په لینوکس او FreeBSD TCP سټیکونو کې زیان منونکي د لیرې پرتو خدماتو انکار لامل کیږي

د Netflix شرکت ښکاره شوی څو مهم زیانمنتیاوې په لینکس او FreeBSD TCP سټیکونو کې، کوم چې تاسو ته اجازه درکوي په لیرې توګه د کرنل حادثې پیل کړئ یا د سرچینې ډیر مصرف لامل شي کله چې په ځانګړي ډول ډیزاین شوي TCP پاکټونه پروسس کوي (د مرګ کڅوړه). ستونزې د په یوه TCP پاکټ کې د ډیټا د اعظمي بلاک اندازې (MSS، اعظمي برخې اندازه) او د ارتباطاتو د انتخابي اعتراف میکانیزم (SACK, TCP انتخابي اعتراف) لپاره په هینډلرونو کې غلطۍ.

  • CVE-2019-11477 (SACK Panic) - یوه ستونزه چې د 2.6.29 څخه پیل کیږي د لینکس کرنلونو کې څرګندیږي او تاسو ته اجازه درکوي په هینډلر کې د انټر فلو له امله د SACK پاکټونو لړۍ لیږلو سره د کرنل ویره رامینځته کړئ. د برید کولو لپاره، دا کافي ده چې د TCP پیوستون لپاره د MSS ارزښت 48 بایټس ته وټاکئ (ټیټ حد د برخې اندازه 8 بایټ ته ټاکي) او د SACK پاکټونو ترتیب په یو ټاکلي ډول ترتیب شوی واستوئ.

    د امنیتي حل په توګه، تاسو کولی شئ د SACK پروسس غیر فعال کړئ (0 ته /proc/sys/net/ipv4/tcp_sack ولیکئ) یا بندول د ټیټ MSS سره اړیکې (یوازې کار کوي کله چې sysctl net.ipv4.tcp_mtu_probing 0 ته ټاکل شوی وي او ممکن د ټیټ MSS سره ځینې نورمال اړیکې ګډوډ کړي)؛

  • CVE-2019-11478 (سیک سست) - د SACK میکانیزم د ګډوډۍ لامل کیږي (کله چې د 4.15 څخه کم د لینکس کرنل کاروئ) یا د سرچینو ډیر مصرف. ستونزه هغه وخت رامینځته کیږي کله چې په ځانګړي ډول جوړ شوي SACK کڅوړې پروسس کوي ، کوم چې د بیا لیږد کتار ټوټې کولو لپاره کارول کیدی شي (TCP بیا لیږد). امنیتي تدابیر د پخوانۍ زیانمننې سره ورته دي.
  • CVE-2019-5599 (SACK سست) - تاسو ته اجازه درکوي چې د لیږل شوي پاکټونو نقشه ټوټه ټوټه کړئ کله چې د یو واحد TCP اتصال کې د ځانګړي SACK ترتیب پروسس کول او د سرچینې په اړه د لیست شمیرنې عملیات ترسره کولو لامل کیږي. ستونزه په FreeBSD 12 کې د RACK پاکټ له لاسه ورکولو میکانیزم سره څرګندیږي. د حل په توګه، تاسو کولی شئ د RACK ماډل غیر فعال کړئ؛
  • CVE-2019-11479 - یو برید کونکی کولی شي د لینکس کرنل لامل شي چې ځوابونه په څو TCP برخو وویشي ، چې هر یو یې یوازې 8 بایټ ډیټا لري ، کوم چې کولی شي په ترافیک کې د پام وړ زیاتوالی ، د CPU بار زیاتوالي او د ارتباطي چینل بندیدو لامل شي. دا د محافظت لپاره د حل په توګه سپارښتنه کیږي. بندول د ټیټ MSS سره اړیکې.

    په لینکس کرنل کې، مسلې په 4.4.182، 4.9.182، 4.14.127، 4.19.52، ​​او 5.1.11 ریلیزونو کې حل شوي. د FreeBSD لپاره یو فکس د دې په څیر شتون لري پیچ. په توزیع کې، د کرنل کڅوړو ته تازه معلومات لا دمخه خپاره شوي Debian, RHEL, SUSE/openSUSE. د چمتو کولو پرمهال اصلاح کول د وبنټو, فیډورا и آرکس لینکس.

    سرچینه: opennet.ru

    • Add a comment