Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačná správa CSIRT.SK - Jún 2019
Tlačové správy
19.07.2019
Mesačný prehľad za mesiac jún 2019
Tlačové správy
01.07.2019
Mesačná správa CSIRT.SK - Máj 2019
Tlačové správy
28.06.2019
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Zraniteľnosť SACK Panic spôsobuje zrútenie linuxového systému

02.07.2019
Spoločnosť Netflix zverejnila informácie o štyroch zraniteľnostiach v jadre operačného systému Linux, ktoré označila ako kritické. Zraniteľnosti súvisia s funkcionalitou TCP protokolu a nachádzajú sa v mechanizme SACK a parametri MSS. Útočník môže spôsobiť neúmerné vyťaženie systémových prostriedkov a nedostupnosť systému.

 

Dôsledky
Zrútenie systému, vyvolanie DoS podmienok, neúmerná záťaž systému

Opis činnosti
CVE-2019-5599, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479

Výskumníci spoločnosti Netflix objavili štyri zraniteľnosti v linuxovom jadre, ktoré umožňujú útočníkom na diaľku spôsobiť DoS podmienky. Týkajú sa implementácie protokolu TCP, konkrétne malej hodnoty veľkosti segmentu MSS (Maximum Segment Size) a mechanizmu SACK (Selective ACKnowledgement), ktorý umožňuje príjemcovi oznamovať odosielateľovi, ktoré dáta dorazili a ktoré nie, na základe čoho odosielateľ opätovne odošle len stratené pakety.

  • CVE-2019-11477 (SACK Panic): Najvážnejšia zo štyroch popísaných zraniteľností. Špeciálnou sériou SACK požiadaviek môže útočník vyvolať pretečenie premennej typu integer a spôsobiť zrútenie jadra (kernel panic).
  • CVE-2019-11478 (SACK Slowness): Nachádza sa vo verziách linuxového jadra nižších ako 4.15. Špeciálnou sériou SACK požiadaviek môže útočník vyvolať fragmentáciu v poradí opätovného odosielania v TCP. Tým sa podstatne zvýši zaťaženie zdrojov systému.
  • CVE-2019-5599 (SACK Slowness): Podobná zraniteľnosť, ako predchádzajúca, no v systéme FreeBSD 12. Spôsobuje fragmentáciu mapy RACK a vyvoláva zvýšenú záťaž systémových zdrojov.
  • CVE-2019-11479: Ak útočník pre TCP spojenie nastaví malú hodnotu veľkosti segmentu MSS, donúti zraniteľný systém použiť dodatočné systémové prostriedky, čo vedie k neúmernej záťaži.

Aktualizácie už sú dostupné aspoň pre veľké distribúcie Linuxu. Spoločnosť Netflix tiež vydala na svojom GitHubovom účte opravy aj spôsoby, ako znížiť dopady zraniteľností, ak aktualizácia nie je možná.

Zraniteľné systémy
Linuxové jadro, verzie od 2.6.29 a vyššie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Narušenie dostupnosti systému (Dos)

Odporúčania

  • Aktualizácia linuxového jadra
  • Vypnutie podpory SACK

Odkazy
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
https://www.tenable.com/blog/sack-panic-linux-and-freebsd-kernels-vulnerable-to-remote-denial-of-service-vulnerabilities-cve
http://www.dsl.sk/article.php?article=22603
https://www.zdnet.com/article/netflix-to-linux-users-patch-sack-panic-kernel-bug-now-to-stop-remote-attacks/



<< zoznam oznámení