ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Linux සහ FreeBSD TCP තොගවල ඇති දුර්වලතා දුරස්ථව සේවා ප්‍රතික්ෂේප කිරීමට හේතු වේ

Linux සහ FreeBSD TCP තොගවල ඇති දුර්වලතා දුරස්ථව සේවා ප්‍රතික්ෂේප කිරීමට හේතු වේ

Netflix සමාගම අනාවරණය කළේය විවේචනාත්මක කිහිපයක් දුර්වලතා Linux සහ FreeBSD TCP ස්ටැක් වල, ඔබට කර්නල් බිඳ වැටීමක් දුරස්ථව ආරම්භ කිරීමට හෝ විෙශේෂෙයන් නිර්මාණය කරන ලද TCP පැකට් (මරණය පැකට්) සැකසීමේදී අධික සම්පත් පරිභෝජනයක් ඇති කිරීමට ඉඩ සලසයි. ගැටලු නිසා TCP පැකට්ටුවක උපරිම දත්ත වාරණ ප්‍රමාණය (MSS, උපරිම කොටස් ප්‍රමාණය) සඳහා හසුරුවන්නෙහි දෝෂ සහ සම්බන්ධතා තෝරා ගැනීම සඳහා වන යාන්ත්‍රණය (SACK, TCP වරණීය පිළිගැනීම).

  • CVE-2019-11477 (SACK Panic) - ලිනක්ස් කර්නල් වල 2.6.29 සිට ආරම්භ වන ගැටළුවක් වන අතර හසුරුවන්නෙහි පූර්ණ සංඛ්‍යා පිටාර ගැලීම හේතුවෙන් SACK පැකට් මාලාවක් යැවීමෙන් කර්නල් භීතියක් ඇති කිරීමට ඔබට ඉඩ සලසයි. පහර දීම සඳහා, TCP සම්බන්ධතාවයක් සඳහා MSS අගය බයිට් 48ක් ලෙස සැකසීම ප්‍රමාණවත් වේ (පහළ සීමාව මඟින් කොටසේ ප්‍රමාණය බයිට් 8 දක්වා සකසයි) සහ යම් ආකාරයකට සකසා ඇති SACK පැකට් අනුපිළිවෙලක් යැවීම ප්‍රමාණවත් වේ.

    ආරක්ෂක ක්‍රියාමාර්ග ලෙස, ඔබට SACK සැකසුම් අක්‍රිය කළ හැක (0 සිට /proc/sys/net/ipv4/tcp_sack වෙත ලියන්න) හෝ අවහිර කිරීමට අඩු MSS සමඟ සම්බන්ධතා (sysctl net.ipv4.tcp_mtu_probing 0 ලෙස සකසා ඇති විට පමණක් ක්‍රියා කරන අතර අඩු MSS සහිත සමහර සාමාන්‍ය සම්බන්ධතා වලට බාධා ඇති විය හැක);

  • CVE-2019-11478 (SACK Slowness) - SACK යාන්ත්‍රණය කඩාකප්පල් කිරීමට (4.15ට වඩා අඩු Linux කර්නලයක් භාවිතා කරන විට) හෝ අධික සම්පත් පරිභෝජනයට හේතු වේ. නැවත සම්ප්‍රේෂණ පෝලිමක් (TCP නැවත සම්ප්‍රේෂණය) ඛණ්ඩනය කිරීමට භාවිතා කළ හැකි, විශේෂයෙන් සකස් කරන ලද SACK පැකට් සැකසීමේදී ගැටළුව ඇතිවේ. ආරක්ෂක ක්‍රියාදාමයන් පෙර පැවති අවදානමට සමාන ය;
  • CVE-2019-5599 (SACK Slowness) - තනි TCP සම්බන්ධතාවයක් තුළ විශේෂ SACK අනුපිළිවෙලක් සැකසීමේදී යවන ලද පැකට් වල සිතියම ඛණ්ඩනය කිරීමට සහ සම්පත්-දැඩි ලැයිස්තු ගණනය කිරීමේ මෙහෙයුමක් සිදු කිරීමට ඔබට ඉඩ සලසයි. RACK පැකට් පාඩු හඳුනාගැනීමේ යාන්ත්‍රණය සමඟින් FreeBSD 12 හි ගැටළුව දිස්වේ. විසඳුමක් ලෙස, ඔබට RACK මොඩියුලය අක්රිය කළ හැකිය;
  • CVE-2019-11479 - ප්‍රහාරකයෙකුට ලිනක්ස් කර්නලය TCP කොටස් කිහිපයකට ප්‍රතිචාර බෙදීමට හේතු විය හැකි අතර, ඒ සෑම එකක්ම බයිට් 8 ක දත්ත පමණක් අඩංගු වන අතර එමඟින් ගමනාගමනයේ සැලකිය යුතු වැඩි වීමක්, CPU පැටවීම සහ සන්නිවේදන නාලිකාව අවහිර විය හැක. ආරක්ෂාව සඳහා විසඳුමක් ලෙස එය නිර්දේශ කෙරේ. අවහිර කිරීමට අඩු MSS සමඟ සම්බන්ධතා.

    ලිනක්ස් කර්නලයේ, 4.4.182, 4.9.182, 4.14.127, 4.19.52, සහ 5.1.11 නිකුතු වල ගැටළු විසඳා ඇත. FreeBSD සඳහා විසඳුමක් ලබා ගත හැකිය පැච්. බෙදාහැරීම්වලදී, කර්නල් පැකේජ සඳහා යාවත්කාලීන කිරීම් දැනටමත් නිකුත් කර ඇත ඩේබියන්, රාල්, SUSE/openSUSE. සකස් කිරීමේදී නිවැරදි කිරීම උබුන්ටු, Fedora и ආෆ්ට් ලිනක්ස්.

    මූලාශ්රය: opennet.ru

    • අදහස් එක් කරන්න