Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

TCPn oinarritutako zerbitzuaren ukapen erako ahultasunak Linux eta FreeBSDren Kernel-etan

Argitalpen data: 2019/06/18

Garrantzia: Handia

Kaltetutako baliabideak: 

  • Linuxen Kernelaren bertsioak: 
    • SACK Panic: 2.6.29 bertsioaren berdinak edo berriagoak direnei eragiten die;
    • SACK Slowness: 4.15 bertsioa baino lehenagokoak;
    • Baliabideen gehiegizko kontsumoa: bertsio guztiak.
  • RACK TCP (SACK Slowness) pila erabiltzen duten FreeBSD 12ren bertsioak.

Azalpena: 

Netflixeko ikertzaileek lau ahultasun aurkitu dituzte, bat kritikotasun altukoa eta hiru kritikotasun ertainekoak. Ahultasun horien arrazoia TCP paketeetan segmentuaren tamaina maximoaren edo minimoaren (MSS) gaitasunak dira, bai eta TCPren (TCP SACK) ezagutza selektiboa ere. Urruneko erasotzaile batek ahultasun hori balia lezake zerbitzuaren ukapen egoera eragiteko.

Konponbidea: 

  • Linux sistema eragileen banaketa nagusietarako ahultasun horiek konpontzek dituzten eguneraketak argitaratu dira: 
  • AWSren kasuan, eguneraketa hauen berri eman da.
  • FreeBSD 12 sistema eragileen kasuan ez dago partxe ofizialik, eta ondorioz Netflixeko ikertzaileek behin-behineko konponbide hauek proposatzen dituzte: 
    • split_limit.patch partxea ezartzea eta net.inet.tcp.rack.split_limit-en sysctl-a zentzuzko balio batean finkatzea, SACK taularen tamaina mugatzeko;
    • Aldi baterako TCP RACK pila desgaitzea.

Xehetasuna: 

Kritikotasun altuko ahultasunaren arrazoia da osokoen gainezkatzea eragin lezakeen aldatutako SACKen segida bat da, kernel panic bat sor lezakeena. Ahultasun horretarako CVE-2019-11477 identifikatzailea erreserbatu da.

Kritikotasun ertaineko gainerako ahultasunetarako CVE-2019-11478, CVE-2019-5599 eta CVE-2019-11479 identifikatzaileak erreserbatu dira.

Etiketak: Eguneraketa, Komunikazioak, Linux, Ahultasuna