Recientemente Linux TCP yığınlarındaki birkaç kritik güvenlik açığının tanımlanmasına ilişkin haberleri yayınladı ve FreeBSD bir saldırganın uzaktan bir çekirdek hatası başlatmasına izin verir veya özel hazırlanmış TCP paketlerini (ölüm paketi) işleyerek aşırı kaynak tüketimine neden olabilir.
Sorunlar, veri bloğunun maksimum boyutunun tutamaçlarındaki hatalardan kaynaklanır. TCP paketinde (MSS, Maksimum segment boyutu) ve seçici bağlantı tanıma mekanizması (SACK, Seçmeli TCP tanıma).
Seçici tanıma nedir?
Seçici TCP Tanıma (SACK) başarılı bir şekilde kabul edilen tüm segmentler hakkında veri alıcısının göndereni bilgilendirebildiği bir mekanizmadır.
bu Gönderenin eksik akış segmentlerini yeniden iletmesine izin verir 'tanınmış' setinden. TCP SACK devre dışı bırakıldığında, dizinin tamamını yeniden iletmek için çok daha büyük bir yeniden iletim kümesi gerekir.
Linux çekirdeğinde, sorunlar 4.4.182, 4.9.182, 4.14.127, 4.19.52 ve 5.1.11 sürümlerinde düzeltilmiştir. FreeBSD için çözüm yama olarak mevcuttur.
Debian, RHEL, SUSE / openSUSE, ALT, Ubuntu, Fedora ve Arch Linux için çekirdek paketi güncellemeleri yayınlandı.
CVE-2019-11477 (SACK Panik)
sorun 2.6.29 itibariyle Linux çekirdeklerinde kendini gösterir ve çekirdeği çökertmenize izin verir (panik) denetleyicideki bir tam sayı taşması nedeniyle bir dizi SACK paketi gönderirken.
Bir saldırı için, TCP bağlantısı için MSS değerini 48 bayta ayarlamak yeterlidir. ve bir dizi düzenlenmiş SACK paketinin belirli bir şekilde gönderilmesi.
Sorunun özü, yapının tcp_skb_cb (Soket Arabelleği) 17 parça depolamak için tasarlanmıştır ("MAX_SKB_FRAGS (65536 / PAGE_SIZE + 1) => 17" tanımlayın).
Paket gönderme sürecinde, gönderme kuyruğuna yerleştirilir ve tcp_skb_cb, göndermek için kullanılan "tcp_gso_segs" ve "tcp_gso_size" alanlarının yanı sıra sıra numarası, bayraklar gibi paketle ilgili ayrıntıları depolar Ağ kartı tarafındaki segmentleri işlemek için kontrolöre bölümleme bilgileri (TSO, Segment Segment İndirme).
SACK etkinse ve TSO sürücü tarafından destekleniyorsa, paket kaybı veya seçici paket yeniden iletimi ihtiyacı ortaya çıktığında topaklar kaydedilir.
Koruma için geçici bir çözüm olarak, SACK işlemeyi devre dışı bırakabilir veya küçük bir MSS ile bağlantıları engelleyebilirsiniz (yalnızca sysctl net.ipv4.tcp_mtu_probing'i 0 olarak ayarladığınızda çalışır ve düşük MSS ile bazı normalleri bozabilir).
CVE-2019-11478 (SACK Yavaşlığı)
Bu başarısızlık SACK mekanizmasının kesintiye uğramasına neden olur (4.15'te Linux çekirdeği kullanırken) veya aşırı kaynak tüketimi.
Sorun, yeniden iletim kuyruğunu (TCP yeniden iletimi) parçalamak için kullanılabilen özel hazırlanmış SACK paketlerini işlerken oluşur. Koruma çözümleri, önceki güvenlik açıklarına benzer
CVE-2019-5599 (SACK Yavaşlığı)
Bir SACK dizisi işlenirken gönderilen paket haritasının parçalanmasına neden olur tek bir TCP bağlantısı içinde ve yoğun kaynak gerektiren bir liste arama işleminin çalıştırılmasına neden olur.
Sorun, RACK paket kaybı tespit mekanizması ile FreeBSD 12'de kendini gösterir. Geçici bir çözüm olarak, RACK modülünü devre dışı bırakabilirsiniz (varsayılan olarak yüklenmez, sysctl net.inet.tcp.functions_default = freebsd belirtilerek devre dışı bırakılır)
CVE-2019-11479
Kusur, bir saldırganın Linux çekirdeğinin yanıtları birden çok TCP segmentine bölmesini sağlar. her biri yalnızca 8 bayt veri içerir ve bu da trafikte önemli bir artışa, artan CPU yüküne ve tıkalı bir iletişim kanalına neden olabilir.
Ek olarak, ek kaynakları tüketir (işlemci gücü ve ağ kartı).
Bu saldırı, saldırganın sürekli çabasını gerektirir ve saldırgan trafik göndermeyi durdurduktan kısa bir süre sonra isabetler sona erer.
Bu saldırı devam ederken, sistem düşük kapasitede çalışacak ve bazı kullanıcılar için hizmet reddine neden olacaktır.
Uzak bir kullanıcı, maksimum segment boyutunu ayarlayarak bu sorunu tetikleyebilir En düşük sınırında (48 bayt) bir TCP bağlantısının (MSS) ve özel hazırlanmış bir SACK paketi dizisi göndermesi.
Geçici bir çözüm olarak, düşük MSS'ye sahip bağlantıların engellenmesi önerilir.