Linux 和 FreeBSD 被曝多个 DoS 漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Linux 和 FreeBSD 内核新近版本在处理 TCP 网络时被曝存在一个拒绝服务缺陷，可被远程攻击者用于在易受攻击系统中触发内核错误。

Netflix 信息安全团队的 Jonathan Looney 总共找到了3个 Linux 漏洞，其中2个和“最小段大小 (MSS) 和 TCP 选择性确认 (SACK) 能力”相关，另外2个仅和 MSS 相关。其中最严重的缺陷被称为“SACK Panic”，可导致受影响系统出错并重启。

Red Hat 公司指出，这些影响内核 TCP 处理子系统的问题获得多个 CVE 编号，SACK Panic 漏洞编号为 CVE-2019-11477，其CVSS3 评分为7.5，而另外两个漏洞编号为 CVE-2019-11478和 CVE-2019-11479，均为中危漏洞。

Netflix 在 NFLX-2019-001安全通告中详细说明了补丁情况，同时还发布了缓解措施，适用于无法轻易打补丁的情况。

SACK Panic 漏洞（Debian、Red Hat、Ubuntu、Suse、AWS）影响 Linux 内核 2.6.29 及后续版本，可通过“在具有较小值 TCP MSS 的 TCP 连接上发送精心设计的 SACK 段序列”来利用该漏洞，从而触发整数溢出。

为修复该问题，Netflix 信息安全通告指出，“需要应用补丁 PATCH_net_1_4.patch”，另外，Linux 内核版本4.14及以上版本需要打上另外一个补丁 PATCH_net_1a.patch。

为缓解该问题，用户和管理员可完全禁用系统上的 SACK 处理或使用 Netflix 信息安全团队提供的过滤器拦截低至 MSS 的连接，而第二种缓解措施只有在禁用 TCP 探测的情况下才起作用。

其它两个 DoS 漏洞影响所有的 Linux 版本，其中可通过发送“精心设计的 SACK 序列来分解 TCP 重传队列”利用 CVE-2019-11478，而CVE-2018-11479 可导致攻击者通过发送“构造的MSS低值的数据包触发过多的资源消耗。”

CVE-2019-5599 是 CVE-2019-11478的 FreeBSD 版本，它影响使用 RACK TCP 栈的 FreeBSD 12版本，并可通过提供“精心设计的  SACK 序列破坏 RACK 发送映射”滥用该漏洞。

Linux 和 FreeBSD 管理员和用户可应用 PATCH_net_2_4.patch 修复第一个缺陷，应用 PATCH_net_3_4.patch 和 PATCH_net_4_4.patch 补丁修复第二个缺陷。应用“split_limit.patch并将 net.inet.tcp.rack.split_limit sysctl 设为一个合理值来限制 SACK 表的大小”来修复 CVE-2019-5599。

作为应变措施，可通过拦截具有低MSS值的远程网络利用的方式缓解 CVE-2019-11478和 CVE-2019-11479。应用 Netflix 信息安全团队提供的过滤器可能会破坏低MSS值的合法连接。而只需切换 RACK TCP 栈即可缓解 FreeBSD 漏洞。

Red Hat 公司指出，“目前影响程度仅限于拒绝服务。目前尚未出现权限提升或信息泄漏问题。”

Netflix 在信息安全公告中指出，“良好的系统和应用程序编程和配置实践（将写入缓冲区限制在必要级别，通过 SO_MEMINFO 监控连接内存消耗并积极关闭行为不当的连接）可限制因这些漏洞引发的攻击造成的影响。”

Netflix 发布的过滤器见：https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md

原文链接

https://www.bleepingcomputer.com/news/security/multiple-linux-and-freebsd-dos-vulnerabilities-found-by-netflix/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。