Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidades de denegación de servicio basadas en TCP en los Kernel de Linux y FreeBSD

Fecha de publicación: 18/06/2019

Importancia: Alta

Recursos afectados:

  • Versiones del Kernel de Linux:
    • SACK Panic: afecta a versiones posteriores o iguales a la versión 2.6.29;
    • SACK Slowness: anteriores a la versión 4.15;
    • Consumo excesivo de recursos: todas las versiones.
  • Versiones de FreeBSD 12 que utilicen la pila RACK TCP (SACK Slowness).

Descripción:

Investigadores de Netflix han descubierto cuatro vulnerabilidades, una de criticidad alta y tres de criticidad media. Estas vulnerabilidades son debidas a las capacidades del tamaño máximo o mínimo de segmento (MSS) en los paquetes TCP, y el reconocimiento selectivo de TCP (TCP SACK). Un atacante remoto podría explotar estas vulnerabilidades para generar una condición de denegación de servicio.

Solución:

  • Para sistemas operativos Linux se han publicado actualizaciones en las principales distribuciones que solucionan las vulnerabilidades:
    • Debian: instalar los paquetes de actualización de seguridad DSA-4465-1;
    • Ubuntu: instalar los paquetes de las actualizaciones de seguridad USN-4017-1 y USN-4017-2;
    • RedHat: instalar los paquetes de actualización disponibles en los diferentes avisos publicados;
    • Para el sistema operativo SUSE todavía no se han publicado parches, pero se ha informado que se proveerán los correspondientes a las distribuciones soportadas;
  • Para AWS, ha informado de las siguientes actualizaciones.
  • Para sistmeas operativos FreeBSD 12 no hay parche oficial, los investigadores de Netflix proponen las siguientes soluciones provisionales:
    • Aplicar el parche split_limit.patch y fijar el sysctl de net.inet.tcp.rack.split_limit a un valor razonable para limitar el tamaño de la tabla SACK;
    • Deshabilitar temporalmente la pila TCP RACK.

Detalle:

La vulnerabilidad de criticidad alta es debida a una secuencia de SACKs modificados que podrían desencadenar un desbordamiento de enteros, pudiendo generar un kernel panic. Se ha reservado el identificador CVE-2019-11477 para esta vulnerabilidad.

Al resto de vulnerabilidades de criticidad media se les han reservado los identificadores CVE-2019-11478, CVE-2019-5599 y CVE-2019-11479 para estas vulnerabilidades.

Etiquetas: Actualización, Comunicaciones, Linux, Vulnerabilidad