ProHoster > BLOG > știri pe internet > Vulnerabilitățile în stivele TCP Linux și FreeBSD duc la refuzarea de la distanță a serviciului

Vulnerabilitățile în stivele TCP Linux și FreeBSD duc la refuzarea de la distanță a serviciului

Compania Netflix dezvăluit mai multe critice vulnerabilități în stivele TCP Linux și FreeBSD, care vă permit să inițiați de la distanță o blocare a nucleului sau să provocați un consum excesiv de resurse atunci când procesați pachete TCP special concepute (pachet-of-death). Probleme cauzat de erori în handlere pentru dimensiunea maximă a blocului de date într-un pachet TCP (MSS, Dimensiunea maximă a segmentului) și mecanismul de confirmare selectivă a conexiunilor (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - o problemă care apare în nucleele Linux începând cu 2.6.29 și vă permite să provocați o panică a nucleului prin trimiterea unei serii de pachete SACK din cauza unui depășire de numere întregi în handler. Pentru a ataca, este suficient să setați valoarea MSS pentru o conexiune TCP la 48 de octeți (limita inferioară setează dimensiunea segmentului la 8 octeți) și să trimiteți o secvență de pachete SACK aranjate într-un anumit mod.

    Ca soluții de securitate, puteți dezactiva procesarea SACK (scrieți 0 în /proc/sys/net/ipv4/tcp_sack) sau a bloca conexiuni cu MSS scăzut (funcționează numai când sysctl net.ipv4.tcp_mtu_probing este setat la 0 și pot întrerupe unele conexiuni normale cu MSS scăzut);

  • CVE-2019-11478 (SACK Slowness) - duce la întreruperea mecanismului SACK (atunci când se utilizează un nucleu Linux mai mic de 4.15) sau la consumul excesiv de resurse. Problema apare la procesarea pachetelor SACK special concepute, care pot fi folosite pentru a fragmenta o coadă de retransmisie (retransmisie TCP). Soluțiile de securitate sunt similare cu vulnerabilitatea anterioară;
  • CVE-2019-5599 (SACK Slowness) - vă permite să provocați fragmentarea hărții pachetelor trimise atunci când procesați o secvență SACK specială într-o singură conexiune TCP și să determinați efectuarea unei operațiuni de enumerare a listei care consumă mult resurse. Problema apare în FreeBSD 12 cu mecanismul de detectare a pierderii pachetelor RACK. Ca o soluție, puteți dezactiva modulul RACK;
  • CVE-2019-11479 - un atacator poate determina nucleul Linux să împartă răspunsurile în mai multe segmente TCP, fiecare dintre ele conținând doar 8 octeți de date, ceea ce poate duce la o creștere semnificativă a traficului, creșterea încărcării CPU și înfundarea canalului de comunicație. Este recomandat ca o soluție pentru protecție. a bloca conexiuni cu MSS scăzut.

    În nucleul Linux, problemele au fost rezolvate în versiunile 4.4.182, 4.9.182, 4.14.127, 4.19.52 și 5.1.11. O remediere pentru FreeBSD este disponibilă ca plasture. În distribuții, actualizările pachetelor de nucleu au fost deja lansate pentru Debian, RHEL, SUSE/openSUSE. Corectare în timpul pregătirii Ubuntu, Fedora и Arch Linux.

    Sursa: opennet.ru

    • Adauga un comentariu