ProHoster > Blog > internetové správy > Zraniteľnosť v zásobníkoch TCP pre Linux a FreeBSD vedú k vzdialenému odmietnutiu služby

Zraniteľnosť v zásobníkoch TCP pre Linux a FreeBSD vedú k vzdialenému odmietnutiu služby

Spoločnosť Netflix odhalené niekoľko kritických zraniteľnosti v TCP stackoch Linux a FreeBSD, ktoré vám umožňujú na diaľku spustiť pád jadra alebo spôsobiť nadmernú spotrebu zdrojov pri spracovaní špeciálne navrhnutých TCP paketov (packet-of-death). Problémy spôsobené chyby v obslužných programoch pre maximálnu veľkosť bloku dát v TCP pakete (MSS, Maximum segment size) a mechanizmus selektívneho potvrdzovania spojení (SACK, TCP Selective Acknowledgement).

  • CVE-2019 11477, (SACK Panic) – problém, ktorý sa objavuje v linuxových jadrách počnúc od 2.6.29 a umožňuje vám vyvolať paniku jadra odoslaním série SACK paketov v dôsledku pretečenia celého čísla v obslužnom programe. Na útok stačí nastaviť hodnotu MSS pre TCP spojenie na 48 bajtov (dolná hranica nastavuje veľkosť segmentu na 8 bajtov) a poslať sekvenciu SACK paketov usporiadaných určitým spôsobom.

    Ako bezpečnostné riešenia môžete zakázať spracovanie SACK (zapíšte 0 do /proc/sys/net/ipv4/tcp_sack) alebo blokovať pripojenia s nízkou MSS (funguje len vtedy, keď je sysctl net.ipv4.tcp_mtu_probing nastavený na 0 a môže narušiť niektoré normálne pripojenia s nízkou MSS);

  • CVE-2019 11478, (SACK Slowness) - vedie k narušeniu mechanizmu SACK (pri použití linuxového jadra mladšieho ako 4.15) alebo nadmernej spotrebe zdrojov. Problém nastáva pri spracovávaní špeciálne vytvorených SACK paketov, ktoré je možné použiť na fragmentáciu fronty opakovaných prenosov (retransmisia TCP). Riešenia zabezpečenia sú podobné predchádzajúcej chybe;
  • CVE-2019 5599, (SACK Slowness) - umožňuje spôsobiť fragmentáciu mapy odosielaných paketov pri spracovaní špeciálnej sekvencie SACK v rámci jedného TCP spojenia a spôsobiť vykonanie operácie enumerácie zoznamu náročne na zdroje. Problém sa objavuje vo FreeBSD 12 s mechanizmom detekcie straty paketov RACK. Ako riešenie môžete zakázať modul RACK;
  • CVE-2019 11479, - Útočník môže spôsobiť, že jadro Linuxu rozdelí odpovede do niekoľkých segmentov TCP, z ktorých každý obsahuje iba 8 bajtov dát, čo môže viesť k výraznému zvýšeniu prevádzky, zvýšenému zaťaženiu procesora a upchatiu komunikačného kanála. Odporúča sa ako riešenie na ochranu. blokovať spojenia s nízkou MSS.

    V jadre Linuxu boli problémy vyriešené vo vydaniach 4.4.182, 4.9.182, 4.14.127, 4.19.52 a 5.1.11. Oprava pre FreeBSD je dostupná ako náplasť. V distribúciách už boli vydané aktualizácie balíkov jadra debian, RHEL, SUSE/openSUSE. Korekcia počas prípravy ubuntu, Fedora и Arch Linux.

    Zdroj: opennet.ru

    • Pridať komentár