ProHoster > blog > habari za mtandao > Athari katika Linux na FreeBSD TCP rafu zinazosababisha kunyimwa huduma kwa mbali

Athari katika Linux na FreeBSD TCP rafu zinazosababisha kunyimwa huduma kwa mbali

Kampuni ya Netflix imefichuliwa kadhaa muhimu udhaifu katika Linux na FreeBSD mrundikano wa TCP, ambayo hukuruhusu kuanzisha kerneli kwa mbali au kusababisha matumizi mengi ya rasilimali wakati wa kuchakata pakiti za TCP zilizoundwa mahususi (pakiti-ya-kifo). Matatizo kusababishwa na hitilafu katika vishikilizi kwa ukubwa wa juu zaidi wa kuzuia data katika pakiti ya TCP (MSS, Upeo wa ukubwa wa sehemu) na utaratibu wa uthibitishaji uliochaguliwa wa miunganisho (SACK, Shukrani kwa Chaguo la TCP).

  • CVE-2019-11477 (SACK Panic) - tatizo ambalo linaonekana kwenye kernels za Linux kuanzia 2.6.29 na hukuruhusu kusababisha kernel hofu kwa kutuma msururu wa pakiti za SACK kwa sababu ya kufurika kwa nambari kamili kwenye kidhibiti. Ili kushambulia, inatosha kuweka thamani ya MSS kwa uunganisho wa TCP kwa byte 48 (kikomo cha chini kinaweka ukubwa wa sehemu kwa byte 8) na kutuma mlolongo wa pakiti za SACK zilizopangwa kwa njia fulani.

    Kama njia za usalama, unaweza kulemaza usindikaji wa SACK (andika 0 kwa /proc/sys/net/ipv4/tcp_sack) au kuzuia miunganisho yenye MSS ya chini (hufanya kazi tu wakati sysctl net.ipv4.tcp_mtu_probing imewekwa kuwa 0 na inaweza kuharibu miunganisho ya kawaida yenye MSS ya chini);

  • CVE-2019-11478 (SACK Slowness) - husababisha usumbufu wa utaratibu wa SACK (wakati wa kutumia kernel ya Linux iliyo chini ya 4.15) au matumizi ya rasilimali nyingi. Tatizo hutokea wakati wa kuchakata pakiti za SACK zilizoundwa mahususi, ambazo zinaweza kutumika kugawanya foleni ya utumaji upya (TCP retransmission). Masuluhisho ya usalama yanafanana na athari ya hapo awali;
  • CVE-2019-5599 (SACK Slowness) - hukuruhusu kusababisha mgawanyiko wa ramani ya pakiti zilizotumwa wakati wa kusindika mlolongo maalum wa SACK ndani ya unganisho moja la TCP na kusababisha operesheni ya kuhesabu orodha inayohitaji rasilimali nyingi kufanywa. Tatizo linaonekana katika FreeBSD 12 na utaratibu wa kugundua upotevu wa pakiti ya RACK. Kama suluhisho, unaweza kulemaza moduli ya RACK;
  • CVE-2019-11479 - mshambulizi anaweza kusababisha kernel ya Linux kugawanya majibu katika sehemu kadhaa za TCP, ambayo kila moja ina baiti 8 tu za data, ambayo inaweza kusababisha ongezeko kubwa la trafiki, kuongezeka kwa mzigo wa CPU na kuziba kwa njia ya mawasiliano. Inapendekezwa kama suluhisho la ulinzi. kuzuia miunganisho na MSS ya chini.

    Katika kinu cha Linux, masuala yalitatuliwa katika matoleo 4.4.182, 4.9.182, 4.14.127, 4.19.52, na 5.1.11. Marekebisho ya FreeBSD yanapatikana kama kiraka. Katika usambazaji, sasisho za vifurushi vya kernel tayari zimetolewa Debian, RHEL, SUSE/openSUSE. Marekebisho wakati wa maandalizi Ubuntu, Fedora ΠΈ Arch Linux.

    Chanzo: opennet.ru

    • Kuongeza maoni