Линуксийн TCP стекээс илэрсэн гурван сул тал нь үйлчилгээг алсаас татгалзахад хүргэдэг

Linux-ийн сүйрэл

Саяхан Линукс TCP стек дэх хэд хэдэн чухал эмзэг байдлыг тодорхойлох тухай мэдээг гаргав мөн FreeBSD халдагч нь алсаас цөмийн алдаа эхлүүлэх боломжийг олгодог эсвэл тусгайлан боловсруулсан TCP пакетуудыг боловсруулж нөөцийн хэт их зарцуулалт үүсгэдэг (үхлийн багц).

Асуудлууд нь өгөгдлийн блокийн хамгийн их хэмжээтэй ажиллахад гарсан алдаанаас үүдэлтэй юм TCP пакет (MSS, Сегментийн хамгийн дээд хэмжээ) ба сонгомол холболтыг таних механизм (SACK, Selective TCP tanı).

Сонгон таних гэж юу вэ?

Сонгомол TCP таних (SACK) энэ нь өгөгдөл хүлээн авагч нь хүлээн зөвшөөрөгдсөн бүх сегментийн талаар илгээгчид мэдээлэх механизм юм.

Энэ нь Илгээгчийн алга болсон урсгалын сегментийг дахин дамжуулах боломжтой түүний 'сайн мэддэг' зураг авалтаас. TCP SACK идэвхгүй болсон үед бүхэл бүтэн дарааллыг дахин дамжуулахад илүү өргөн дамжуулалтын багц шаардагдана.

Линуксийн цөмд 4.4.182, 4.9.182, 4.14.127, 4.19.52 ба 5.1.11 хувилбаруудад эдгээр асуудлыг шийдсэн болно. FreeBSD-ийн шийдлийг нөхөөс хэлбэрээр авах боломжтой.

Цөмийн багц шинэчлэлтүүд нь Debian, RHEL, SUSE / openSUSE, ALT, Ubuntu, Fedora, Arch Linux-т зориулагдсан болно.

CVE-2019-11477 (SACK Panic)

Асуудал нь 2.6.29-ний байдлаар Линуксийн цөмд илэрч, цөмийг гэмтээх боломжийг танд олгоно (сандрах) нь хянагч дахь бүхэл тоо хальсан тул SACK багц цуврал илгээх үед.

Довтолгооны хувьд TCP холболтын хувьд MSS утгыг 48 байт болгож тохируулахад хангалттай мөн дараалсан SACK пакетуудыг тодорхой байдлаар илгээх.

Асуудлын мөн чанар нь бүтэц юм tcp_skb_cb (сокет буфер) нь 17 ширхэг хадгалах зориулалттай ("MAX_SKB_FRAGS (65536 / PAGE_SIZE + 1) => 17-г тодорхойлно уу").

Багцыг илгээх явцад илгээх дараалалд байрлуулж, tcp_skb_cb нь пакетийн талаархи дарааллын дугаар, туг, түүнчлэн "tcp_gso_segs", "tcp_gso_size" талбар гэх мэт дэлгэрэнгүй мэдээллийг хадгалдаг. Сүлжээний картын талбайн сегментүүдийг боловсруулахын тулд хянагч руу сегментчилэх мэдээлэл (TSO, Segment Segment Download).

Пакет алдагдсан эсвэл пакетийг сонгон дамжуулах шаардлага гарсан үед SACK идэвхжсэн бөгөөд TSO нь драйвераар дэмжигдсэн тохиолдолд хэсгүүдийг хадгалдаг.

Хамгаалалтын шийдлийн хувьд та SACK боловсруулалтыг идэвхгүйжүүлж эсвэл жижиг MSS-тэй холболтыг хааж болно (зөвхөн sysctl net.ipv4.tcp_mtu_probing-ийг 0 болгож, зарим хэвийн горимыг зөрчиж магадгүй) бага MSS-тэй).

CVE-2019-11478 (SACK Slowness)

Энэ бүтэлгүйтэл SACK механизм тасалдахад хүргэдэг (4.15-д Линуксийн цөм ашиглах үед) эсвэл нөөцийн хэт их хэрэглээ.

Дахин дамжуулах дарааллыг хуваахад ашиглаж болох тусгайлан боловсруулсан SACK пакетуудыг боловсруулахад асуудал гардаг. Хамгаалах шийдэл нь өмнөх эмзэг байдалтай төстэй юм

CVE-2019-5599 (SACK Slowness)

SACK дарааллыг боловсруулахад илгээсэн пакет газрын зургийг хуваах боломжийг олгодог нэг TCP холболт дотор нөөцийг их шаарддаг жагсаалтыг хайх ажиллагааг ажиллуулахад хүргэдэг.

Асуудал нь FreeBSD 12 дээр RACK пакетийн алдагдлыг илрүүлэх механизмаар илэрдэг. Шийдвэрлэх арга хэлбэрээр та RACK модулийг идэвхгүйжүүлж болно (энэ нь анхдагчаар ачаалагддаггүй, sysctl net.inet.tcp.functions_default = freebsd зааж идэвхгүйжүүлдэг)

CVE-2019-11479

Алдаа дутагдал нь халдагчид Линуксийн цөмийг хариу үйлдлийг олон TCP сегмент болгон хуваах боломжийг олгодог. Эдгээр нь зөвхөн 8 байтын өгөгдлийг агуулдаг бөгөөд ингэснээр траффик мэдэгдэхүйц нэмэгдэж, CPU-ийн ачаалал нэмэгдэж, холбооны суваг бөглөрч болзошгүй юм.

Үүнээс гадна, энэ нь нэмэлт нөөцийг зарцуулдаг (процессорын хүч ба сүлжээний карт).

Энэ довтолгоонд халдагчаас тасралтгүй хүчин чармайлт шаардагдах бөгөөд халдагч траффик илгээхээ больсны дараахан цохилт дуусах болно.

Энэ халдлага үргэлжилж байх үед систем нь багассан хүчин чадлаар ажиллах бөгөөд зарим хэрэглэгчдэд үйлчилгээ үзүүлэхээс татгалзах болно.

Алсын хэрэглэгч нь сегментийн дээд хэмжээг тохируулах замаар энэ асуудлыг өдөөж болно (MSS) TCP холболтыг хамгийн доод хязгаарт (48 байт) байрлуулж, тусгайлан боловсруулсан SACK пакетуудын дарааллыг илгээх.

Тодорхой шийдлийн хувьд бага MSS холболтыг хаахыг зөвлөж байна.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.