在最近的Linux和FreeBSD内核处理TCP网络的方式中发现的拒绝服务缺陷可被远程攻击者利用来触发易受攻击的系统中的内核恐慌。
总而言之,Netflix信息安全公司的Jonathan Looney发现了三个Linux漏洞,其中两个与“最小段大小(MSS)和TCP选择性确认(SACK)功能”相关,而另一个与MSS相关,其中最严重的一个名为SACK Panic 可能导致受影响的系统出现紧急情况并重新启动的问题。
根据Red Hat的说法,影响内核TCP处理子系统的问题通过多个CVE进行跟踪,CVE-2019-11477 SACK Panic已被指定为7.5 CVSS3基本分数的重要严重程度,而CVE-2019-11478和CVE- 2019-11479被认为是中度严重性漏洞。
Netflix的NFLX-2019-001安全建议中已详细介绍了补丁程序,并且修补程序也可用于修补程序不是直接或简单的选项。
SACK Panic安全漏洞
SACK Panic漏洞(Debian,Red Hat,Ubuntu,Suse,AWS)会影响Linux内核2.6.29及更高版本,并且可以通过“在具有较小值的TCP MSS的TCP连接上发送精心设计的SACK段序列”来利用它。这将触发整数溢出。
为了解决这个问题,“应用修补程序PATCH_net_1_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch)。此外,Linux内核的版本,包括4.14版本需要第二个修补程序PATCH_net_1a.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch)”,Netflix Information Security的建议说。
为了缓解这个问题,用户和管理员可以完全禁用系统上的SACK处理(通过将/ proc / sys / net / ipv4 / tcp_sack设置为0)或使用Netflix信息安全提供的过滤器阻止与低MSS的连接 - 第二个缓解措施仅在禁用TCP探测时才有效。
更多拒绝服务的漏洞
另外两个漏洞影响所有Linux版本,CVE-2019-11478(被称为SACK Slowness)可通过发送“一个精心设计的SACK序列来分解TCP重传队列”来利用,而CVE-2019-11479允许攻击者触发DoS通过发送“具有低MSS值的精心制作的数据包来触发过多的资源消耗”来进行状态。
CVE-2019-5599是CVE-2019-11478的FreeBSD版本,它使用RACK TCP堆栈影响FreeBSD 12的安装,并且可以通过提供“一个精心设计的SACK序列来破坏RACK发送映射”。
Linux和FreeBSD管理员和用户可以通过应用PATCH_net_2_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_2_4.patch)修复第一个,第二个可以修复PATCH_net_3_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_3_4.patch)和PATCH_net_4_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_4_4.patch)安全补丁。可以通过应用“split_limit.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/split_limit.patch)并将net.inet.tcp.rack.split_limit sysctl设置为合理的值来修补CVE-2019-5599以限制SACK表的大小。”
作为解决方法,CVE-2019-11478和CVE-2019-11479都可以通过使用Netflix信息安全提供的过滤器阻止具有低MSS的远程网络连接来缓解 - 应用过滤器可能随后破坏低MMS合法连接。只需切换RACK TCP堆栈即可缓解FreeBSD漏洞。
“目前,影响程度仅限于拒绝服务。目前没有特权升级或信息泄露,”Red Hat说。
“良好的系统和应用程序编码和配置实践(将写入缓冲区限制在必要的级别,通过SO_MEMINFO监视连接内存消耗,以及积极关闭行为不当的连接)可以帮助限制攻击这些类型漏洞的影响,”Netflix信息还指出安全性在其咨询中。