nylig udgivet nyheden om identifikation af flere kritiske sårbarheder i Linux TCP-stakke og FreeBSD som tillader en angriber at fjernstarte en kernefejl eller forårsage for stort ressourceforbrug ved behandling af specialfremstillede TCP-pakker (dødspakke).
Problemerne er forårsaget af fejl i håndtererne af maksimal datablokstørrelse. i TCP-pakken (MSS, Maximum Segment Size) og mekanismen til selektiv forbindelsesbekræftelse (SACK, Selective TCP Acknowledgement).
Hvad er en selektiv anerkendelse?
Selektiv TCP-anerkendelse (SACK) Det er en mekanisme, hvor datamodtageren kan informere afsenderen om alle de segmenter, der er blevet accepteret.
dette giver afsenderen mulighed for at gentransmittere manglende segmenter af strømmen af dets 'velkendte' sæt. Når TCP SACK er deaktiveret, kræves der et meget større sæt retransmissioner for at gentransmittere en hel stream.
I Linux-kernen er problemerne rettet i version 4.4.182, 4.9.182, 4.14.127, 4.19.52 og 5.1.11. Rettelsen til FreeBSD er tilgængelig som en patch.
Kernelpakkeopdateringer udgives til Debian, RHEL, SUSE/openSUSE, ALT, Ubuntu, Fedora og Arch Linux.
CVE-2019-11477 (SACK Panic)
Problemet manifesterer sig i Linux-kerner fra 2.6.29 og giver dig mulighed for at forårsage et kernenedbrud (panik), når der sendes en række SACK-pakker på grund af et heltalsoverløb, der forekommer i controlleren.
For et angreb er det nok at indstille MSS-værdien til 48 bytes for en TCP-forbindelse og afsendelse af en sekvens af arrangerede SACK-pakker på en bestemt måde.
Essensen af problemet er, at strukturen tcp_skb_cb (Socket Buffer) er designet til at opbevare 17 fragmenter ("definer MAX_SKB_FRAGS(65536 / PAGE_SIZE + 1) => 17").
I processen med at sende en pakke placeres den i sendekøen, og tcp_skb_cb gemmer detaljer om pakken, såsom sekvensnummeret, flag samt felterne "tcp_gso_segs" og "tcp_gso_size", som bruges til at sende segmenteringsinformation til controlleren (TSO'en) til NIC-sidesegmenterne.
Fragmenter gemmes, når pakketab eller behovet for selektiv pakketransmission opstår, hvis SACK er aktiveret, og TSO understøttes af driveren.
Som en løsning til beskyttelse kan du deaktivere SACK-behandling eller blokere forbindelser med lille MSS (virker kun, når du indstiller sysctl net.ipv4.tcp_mtu_probing til 0 og kan bryde nogle normale med lav MSS).
CVE-2019-11478 (SACK Slowness)
Denne kendelse forårsager en afbrydelse af SACK-mekanismen (når du bruger Linux-kernen på 4.15) eller for stort ressourceforbrug.
Problemet viser sig, når der behandles specielt fremstillede SACK-pakker, der kan bruges til at fragmentere retransmissionskøen (TCP-retransmission). Løsningerne til beskyttelsen ligner de tidligere sårbarheder
CVE-2019-5599 (SACK Slowness)
Tillader at forårsage fragmentering af kortet over pakker, der sendes, når en SACK-sekvens behandles inden for en enkelt TCP-forbindelse og få en ressourcekrævende listeopslagsoperation til at blive udført.
Problemet manifesterer sig i FreeBSD 12 med RACK-mekanismen til registrering af pakketab. Som en løsning kan du deaktivere RACK-modulet (det er ikke indlæst som standard, det er deaktiveret ved at angive sysctl net.inet.tcp.functions_default = freebsd)
CVE-2019-11479
Fejlen tillader en angriber at få Linux-kernen til at opdele svar i flere TCP-segmenter, som hver kun indeholder 8 bytes data, hvilket kan føre til en betydelig stigning i trafik, en stigning i CPU-belastning og en tilstoppet kommunikationskanal.
Derudover bruger det yderligere ressourcer (processorens og netværkskortets processorkraft).
Dette angreb kræver en kontinuerlig indsats fra angriberens side, og hits vil slutte kort efter, at angriberen holder op med at sende trafik.
Mens dette angreb er i gang, vil systemet køre med reduceret kapacitet, hvilket resulterer i et lammelsesangreb for nogle brugere.
En fjernbruger kan udløse dette problem ved at indstille den maksimale segmentstørrelse (MSS) af en TCP-forbindelse ved dens laveste grænse (48 bytes) og sender en sekvens af speciallavede SACK-pakker.
Som en løsning anbefales det at blokere forbindelser med lav MSS.