Linux 和 FreeBSD 被曝多个 DoS 漏洞
编译:奇安信代码卫士团队
Linux 和 FreeBSD 内核新近版本在处理 TCP 网络时被曝存在一个拒绝服务缺陷,可被远程攻击者用于在易受攻击系统中触发内核错误。
Netflix 信息安全团队的 Jonathan Looney 总共找到了3个 Linux 漏洞,其中2个和“最小段大小 (MSS) 和 TCP 选择性确认 (SACK) 能力”相关,另外2个仅和 MSS 相关。其中最严重的缺陷被称为“SACK Panic”,可导致受影响系统出错并重启。
Red Hat 公司指出,这些影响内核 TCP 处理子系统的问题获得多个 CVE 编号,SACK Panic 漏洞编号为 CVE-2019-11477,其CVSS3 评分为7.5,而另外两个漏洞编号为 CVE-2019-11478和 CVE-2019-11479,均为中危漏洞。
Netflix 在 NFLX-2019-001安全通告中详细说明了补丁情况,同时还发布了缓解措施,适用于无法轻易打补丁的情况。
SACK Panic 缺陷
SACK Panic 漏洞(Debian、Red Hat、Ubuntu、Suse、AWS)影响 Linux 内核 2.6.29 及后续版本,可通过“在具有较小值 TCP MSS 的 TCP 连接上发送精心设计的 SACK 段序列”来利用该漏洞,从而触发整数溢出。
为修复该问题,Netflix 信息安全通告指出,“需要应用补丁 PATCH_net_1_4.patch”,另外,Linux 内核版本4.14及以上版本需要打上另外一个补丁 PATCH_net_1a.patch。
为缓解该问题,用户和管理员可完全禁用系统上的 SACK 处理或使用 Netflix 信息安全团队提供的过滤器拦截低至 MSS 的连接,而第二种缓解措施只有在禁用 TCP 探测的情况下才起作用。
其它 DoS 漏洞
其它两个 DoS 漏洞影响所有的 Linux 版本,其中可通过发送“精心设计的 SACK 序列来分解 TCP 重传队列”利用 CVE-2019-11478,而CVE-2018-11479 可导致攻击者通过发送“构造的MSS低值的数据包触发过多的资源消耗。”
CVE-2019-5599 是 CVE-2019-11478的 FreeBSD 版本,它影响使用 RACK TCP 栈的 FreeBSD 12版本,并可通过提供“精心设计的 SACK 序列破坏 RACK 发送映射”滥用该漏洞。
Linux 和 FreeBSD 管理员和用户可应用 PATCH_net_2_4.patch 修复第一个缺陷,应用 PATCH_net_3_4.patch 和 PATCH_net_4_4.patch 补丁修复第二个缺陷。应用“split_limit.patch并将 net.inet.tcp.rack.split_limit sysctl 设为一个合理值来限制 SACK 表的大小”来修复 CVE-2019-5599。
作为应变措施,可通过拦截具有低MSS值的远程网络利用的方式缓解 CVE-2019-11478和 CVE-2019-11479。应用 Netflix 信息安全团队提供的过滤器可能会破坏低MSS值的合法连接。而只需切换 RACK TCP 栈即可缓解 FreeBSD 漏洞。
Red Hat 公司指出,“目前影响程度仅限于拒绝服务。目前尚未出现权限提升或信息泄漏问题。”
Netflix 在信息安全公告中指出,“良好的系统和应用程序编程和配置实践(将写入缓冲区限制在必要级别,通过 SO_MEMINFO 监控连接内存消耗并积极关闭行为不当的连接)可限制因这些漏洞引发的攻击造成的影响。”
Netflix 发布的过滤器见:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
原文链接
https://www.bleepingcomputer.com/news/security/multiple-linux-and-freebsd-dos-vulnerabilities-found-by-netflix/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。