ProHoster > blogg > internetnyheter > Sårbarheter i Linux och FreeBSD TCP-stackar som leder till fjärrnedsättning av tjänster

Sårbarheter i Linux och FreeBSD TCP-stackar som leder till fjärrnedsättning av tjänster

Netflix företag avslöjat flera kritiska sårbarheter i Linux och FreeBSD TCP-stackar, som låter dig initiera en kärnkrasch på distans eller orsaka överdriven resursförbrukning när du bearbetar specialdesignade TCP-paket (packet-of-death). Problem orsakad av fel i hanterarna för den maximala datablockstorleken i ett TCP-paket (MSS, Maximum segment size) och mekanismen för selektiv bekräftelse av anslutningar (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - ett problem som dyker upp i Linux-kärnor från och med 2.6.29 och låter dig orsaka kärnpanik genom att skicka en serie SACK-paket på grund av ett heltalsspill i hanteraren. För att attackera räcker det att ställa in MSS-värdet för en TCP-anslutning till 48 byte (den nedre gränsen anger segmentstorleken till 8 byte) och skicka en sekvens av SACK-paket arrangerade på ett visst sätt.

    Som säkerhetslösningar kan du inaktivera SACK-bearbetning (skriv 0 till /proc/sys/net/ipv4/tcp_sack) eller blockera anslutningar med låg MSS (fungerar endast när sysctl net.ipv4.tcp_mtu_probing är inställd på 0 och kan störa vissa normala anslutningar med låg MSS);

  • CVE-2019-11478 (SACK Slowness) - leder till avbrott i SACK-mekanismen (när du använder en Linux-kärna som är yngre än 4.15) eller överdriven resursförbrukning. Problemet uppstår vid bearbetning av specialgjorda SACK-paket, som kan användas för att fragmentera en återöverföringskö (TCP-återöverföring). Säkerhetslösningarna liknar den tidigare sårbarheten;
  • CVE-2019-5599 (SACK Slowness) - låter dig orsaka fragmentering av kartan över skickade paket när du bearbetar en speciell SACK-sekvens inom en enda TCP-anslutning och gör att en resurskrävande listuppräkningsoperation utförs. Problemet dyker upp i FreeBSD 12 med RACK-mekanismen för upptäckt av paketförlust. Som en lösning kan du inaktivera RACK-modulen;
  • CVE-2019-11479 - en angripare kan få Linux-kärnan att dela upp svaren i flera TCP-segment, som vart och ett innehåller endast 8 byte data, vilket kan leda till en betydande ökning av trafiken, ökad CPU-belastning och igensättning av kommunikationskanalen. Det rekommenderas som en lösning för skydd. blockera anslutningar med låg MSS.

    I Linux-kärnan löstes problemen i versionerna 4.4.182, 4.9.182, 4.14.127, 4.19.52 och 5.1.11. En fix för FreeBSD finns tillgänglig som lappa. I distributioner har uppdateringar av kärnpaket redan släppts för Debian, RHEL, SUSE/openSUSE. Rättelse under förberedelse ubuntu, fedora и Arch Linux.

    Källa: opennet.ru

    • Lägg en kommentar