ProHoster > Blog > lajme në internet > Dobësitë në pirgjet TCP të Linux dhe FreeBSD që çojnë në mohim të largët të shërbimit

Dobësitë në pirgjet TCP të Linux dhe FreeBSD që çojnë në mohim të largët të shërbimit

Kompania Netflix zbuluar disa kritike dobësitë në Linux dhe FreeBSD TCP stacks, të cilat ju lejojnë të filloni nga distanca një përplasje kernel ose të shkaktoni konsum të tepërt të burimeve kur përpunoni paketa TCP të projektuara posaçërisht (paketë vdekjeje). Problemet shkaktuar nga gabimet në mbajtësit për madhësinë maksimale të bllokut të të dhënave në një paketë TCP (MSS, Madhësia maksimale e segmentit) dhe mekanizmi për njohjen selektive të lidhjeve (SACK, TCP Selective Acknowledgment).

  • CVE-2019-11477 (SACK Panic) - një problem që shfaqet në kernelet Linux duke filluar nga 2.6.29 dhe ju lejon të shkaktoni një panik kernel duke dërguar një seri paketash SACK për shkak të një tejkalimi të numrit të plotë në mbajtës. Për të sulmuar, mjafton të vendosni vlerën MSS për një lidhje TCP në 48 bajt (kufiri i poshtëm vendos madhësinë e segmentit në 8 bajt) dhe të dërgoni një sekuencë paketash SACK të rregulluara në një mënyrë të caktuar.

    Si zgjidhje sigurie, mund të çaktivizoni përpunimin SACK (shkruani 0 në /proc/sys/net/ipv4/tcp_sack) ose për të bllokuar lidhjet me MSS të ulët (funksionon vetëm kur sysctl net.ipv4.tcp_mtu_probing është vendosur në 0 dhe mund të prishë disa lidhje normale me MSS të ulët);

  • CVE-2019-11478 (SaCK Slowness) - çon në ndërprerje të mekanizmit SACK (kur përdoret një kernel Linux më i ri se 4.15) ose konsum i tepruar i burimeve. Problemi ndodh kur përpunohen paketat SACK të krijuara posaçërisht, të cilat mund të përdoren për të fragmentuar një radhë ritransmetimi (ritransmetimi TCP). Zgjidhjet e sigurisë janë të ngjashme me cenueshmërinë e mëparshme;
  • CVE-2019-5599 (SaCK Slowness) - ju lejon të shkaktoni fragmentim të hartës së paketave të dërguara kur përpunoni një sekuencë të veçantë SACK brenda një lidhjeje të vetme TCP dhe të bëni që të kryhet një operacion numërimi i listës me burime intensive. Problemi shfaqet në FreeBSD 12 me mekanizmin e zbulimit të humbjes së paketave RACK. Si zgjidhje, mund të çaktivizoni modulin RACK;
  • CVE-2019-11479 - një sulmues mund të bëjë që kerneli Linux të ndajë përgjigjet në disa segmente TCP, secila prej të cilave përmban vetëm 8 bajt të dhëna, gjë që mund të çojë në një rritje të konsiderueshme të trafikut, rritje të ngarkesës së CPU-së dhe bllokim të kanalit të komunikimit. Rekomandohet si një zgjidhje për mbrojtje. për të bllokuar lidhjet me MSS të ulët.

    Në kernelin Linux, problemet u zgjidhën në versionet 4.4.182, 4.9.182, 4.14.127, 4.19.52 dhe 5.1.11. Një rregullim për FreeBSD është i disponueshëm si arnim. Në shpërndarje, përditësimet për paketat e kernelit janë lëshuar tashmë Debian, RHEL, SUSE/openSUSE. Korrigjimi gjatë përgatitjes Ubuntu, Fedora и Arch Linux.

    Burimi: opennet.ru

    • Shto një koment