Recientemente zverejnil správu o identifikácii niekoľkých kritických zraniteľností v zásobníkoch Linux TCP a FreeBSD umožňuje útočníkovi vzdialene iniciovať zlyhanie jadra alebo spôsobiť nadmernú spotrebu zdrojov spracovaním špeciálne vytvorených paketov TCP (packet of death).
Problémy spôsobujú chyby v obslužných programoch maximálnej veľkosti dátového bloku v pakete TCP (MSS, Maximálna veľkosť segmentu) a mechanizmus selektívneho rozpoznávania spojenia (SACK, Selektívne rozpoznávanie TCP).
Čo je to selektívne uznanie?
Selektívne rozpoznávanie TCP (SACK) je to mechanizmus, kde prijímač dát môže informovať odosielateľa o všetkých segmentoch, ktoré boli úspešne prijaté.
toto Umožňuje odosielateľovi znova odoslať chýbajúce segmenty streamu z jeho „dobre známej“ sady. Keď je TCP SACK vypnutý, na opakovaný prenos celej sekvencie je potrebná oveľa väčšia sada opakovaných prenosov.
V jadre systému Linux sú problémy opravené vo verziách 4.4.182, 4.9.182, 4.14.127, 4.19.52 a 5.1.11. Riešenie pre FreeBSD je k dispozícii ako oprava.
Aktualizácie balíkov jadra sú vydané pre Debian, RHEL, SUSE / openSUSE, ALT, Ubuntu, Fedora a Arch Linux.
CVE-2019-11477 (SACK Panic)
Problém sa prejavuje v jadrách systému Linux od 2.6.29 a umožňuje vám zrútiť jadro (panika) pri odosielaní série paketov SACK v dôsledku celotelového pretečenia v radiči.
Pre útok stačí pre pripojenie TCP nastaviť hodnotu MSS na 48 bajtov a určitým spôsobom odosielanie postupnosti usporiadaných paketov SACK.
Podstatou problému je, že štruktúra tcp_skb_cb (Socket Buffer) je určený na skladovanie 17 fragmentov („Definujte MAX_SKB_FRAGS (65536 / PAGE_SIZE + 1) => 17“).
V procese odosielania paketu sa umiestni do frontu na odoslanie a tcp_skb_cb ukladá podrobnosti o pakete, ako napríklad poradové číslo, príznaky, ako aj polia „tcp_gso_segs“ a „tcp_gso_size“, ktoré sa používajú na odoslanie Informácie o segmentácii do riadiacej jednotky (TSO, stiahnutie segmentu segmentu) na spracovanie segmentov na strane sieťovej karty.
Kusy sa ukladajú, keď dôjde k strate paketu alebo k potrebe selektívneho opätovného prenosu paketu, ak je povolený SACK a ovládač podporuje TSO.
Ako riešenie ochrany môžete zakázať spracovanie SACK alebo blokovať pripojenia pomocou malého MSS (funguje iba vtedy, keď nastavíte sysctl net.ipv4.tcp_mtu_probing na 0 a môže narušiť niektoré normálne) s nízkym MSS).
CVE-2019-11478 (SACK pomalosť)
Toto zlyhanie spôsobí prerušenie mechanizmu SACK (pri použití jadra Linuxu v 4.15) alebo nadmerná spotreba zdrojov.
Problém sa prejavuje, keď sa spracúvajú špeciálne vytvorené pakety SACK, ktoré sa dajú použiť na fragmentáciu frontu opakovaného prenosu (TCP opakovaný prenos). Riešenia ochrany sú podobné ako predchádzajúce chyby zabezpečenia
CVE-2019-5599 (SACK pomalosť)
Umožňuje spôsobiť fragmentáciu mapy paketov odoslaných pri spracovaní sekvencie SACK v rámci jedného TCP spojenia a spôsobí spustenie operácie vyhľadávania zoznamov náročných na zdroje.
Problém sa prejavuje vo FreeBSD 12 s mechanizmom detekcie straty paketov RACK. Ako riešenie môžete zakázať modul RACK (predvolene sa nenačíta, deaktivovaný zadaním sysctl net.inet.tcp.functions_default = freebsd)
CVE-2019 11479,
Táto chyba umožňuje útočníkovi urobiť si linuxové jadro rozdeliť odpovede na viac segmentov TCP, každý z nich obsahuje iba 8 bajtov údajov, čo môže viesť k výraznému zvýšeniu prenosu, zvýšenému zaťaženiu procesora a upchatiu komunikačného kanálu.
Okrem toho spotrebováva ďalšie zdroje (výkon procesora a sieťová karta).
Tento útok si vyžaduje neustále úsilie útočníka a zásahy sa skončia krátko potom, čo útočník prestane odosielať prenos.
Pokiaľ tento útok prebieha, systém bude pracovať so zníženou kapacitou, čo u niektorých používateľov spôsobí odmietnutie služby.
Vzdialený používateľ môže tento problém spustiť nastavením maximálnej veľkosti segmentu (MSS) TCP spojenia na najnižšej hranici (48 bajtov) a zasielanie postupnosti špeciálne vytvorených paketov SACK.
Ako riešenie sa odporúča zablokovať pripojenie s nízkou úrovňou MSS.