ProHoster > Blog > notícias da internet > Vulnerabilidades nas pilhas TCP do Linux e do FreeBSD levando à negação remota de serviço

Vulnerabilidades nas pilhas TCP do Linux e do FreeBSD levando à negação remota de serviço

Empresa Netflix revelado vários críticos vulnerabilidades em pilhas TCP do Linux e do FreeBSD, que permitem iniciar remotamente uma falha do kernel ou causar consumo excessivo de recursos ao processar pacotes TCP especialmente projetados (pacote da morte). Problemas causado por erros nos manipuladores para o tamanho máximo do bloco de dados em um pacote TCP (MSS, Tamanho máximo do segmento) e no mecanismo de reconhecimento seletivo de conexões (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - um problema que aparece nos kernels Linux a partir de 2.6.29 e permite causar um kernel panic enviando uma série de pacotes SACK devido a um estouro de número inteiro no manipulador. Para atacar, basta definir o valor MSS de uma conexão TCP para 48 bytes (o limite inferior define o tamanho do segmento para 8 bytes) e enviar uma sequência de pacotes SACK organizados de uma determinada maneira.

    Como soluções alternativas de segurança, você pode desabilitar o processamento SACK (gravar 0 em /proc/sys/net/ipv4/tcp_sack) ou bloquear conexões com MSS baixo (funciona apenas quando sysctl net.ipv4.tcp_mtu_probing está definido como 0 e pode interromper algumas conexões normais com MSS baixo);

  • CVE-2019-11478 (SACK Slowness) - leva à interrupção do mecanismo SACK (ao usar um kernel Linux anterior a 4.15) ou ao consumo excessivo de recursos. O problema ocorre durante o processamento de pacotes SACK especialmente criados, que podem ser usados ​​para fragmentar uma fila de retransmissão (retransmissão TCP). As soluções alternativas de segurança são semelhantes à vulnerabilidade anterior;
  • CVE-2019-5599 (SACK Slowness) - permite causar fragmentação do mapa de pacotes enviados ao processar uma sequência SACK especial dentro de uma única conexão TCP e fazer com que uma operação de enumeração de lista com uso intensivo de recursos seja executada. O problema aparece no FreeBSD 12 com o mecanismo de detecção de perda de pacotes RACK. Como solução alternativa, você pode desabilitar o módulo RACK;
  • CVE-2019-11479 - um invasor pode fazer com que o kernel Linux divida as respostas em vários segmentos TCP, cada um contendo apenas 8 bytes de dados, o que pode levar a um aumento significativo no tráfego, aumento da carga da CPU e entupimento do canal de comunicação. É recomendado como uma solução alternativa para proteção. bloquear conexões com baixo MSS.

    No kernel Linux, os problemas foram resolvidos nas versões 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. Uma correção para o FreeBSD está disponível como correção. Nas distribuições, as atualizações dos pacotes do kernel já foram lançadas para Debian, RHEL, SUSE / openSUSE. Correção durante a preparação Ubuntu, Fedora и Arch Linux.

    Fonte: opennet.ru

    • Adicionar um comentário