Google Project Zero accusa Linux di sciatta patch al kernel
Project Zero accusa distribuzioni Linux di lasciare gli utenti esposti a noti vulnerabilità del kernel per settimane.
Le organizzazioni che eseguono grandi flotte di produzione di computer Linux sono invitati ad applicare le nuove patch per fermare gli aggressori remoti dalla caduta di macchine. Tre difetti influenzare come il kernel di Linux gestisce networking TCP e uno colpisce il FreeBSD stack TCP.
Il più grave dei quattro difetti, CVE-2019-11477, è chiamato SACCO di Panico, in riferimento al kernel di Linux TCP Riconoscimento Selettivo (SACCO) di capacità.
Gli aggressori remoti possono sfruttare questa falla per innescare un kernel panic’ che poteva causare il crash di una macchina, leader di un attacco denial of service. Questo influisce sulle versioni del kernel Linux dalla versione 2.6.29 e sopra.
Netflix dettagliata del bug in un advisory pubblicato su GitHub e ha collettivamente nominale di loro come critico di particolare gravità e difetti. Tuttavia, RedHat singolarmente tassi SACCO di Panico come avere un ‘importante e’ che la gravità, mentre il restante bug sono considerato “moderato”.
Ma Netflix critici di valutazione avrebbe senso se gli aggressori remoti potrebbe in basso il video-streaming del gigante di macchine Linux, che probabilmente ospitato su Amazon Web Services (AWS) di infrastrutture.
In quella nota, AWS ha rilasciato degli aggiornamenti per i tre Linux bug che ha colpito AWS Elastic Beanstalk, Amazon Linux, Linux basata su istanze EC2 di Amazon Linux aree di lavoro, e Amazon Kubernetes contenitore di servizio.
Alcuni servizi, come ad esempio Amazon ElastiCache non sono vulnerabili se lasciato le impostazioni di default, ma potrebbe essere se i clienti sono cambiati di una configurazione.
Altri bug includono CVE-2019-11478 o in un sacchetto di Lentezza, che colpisce Linux 4.15 e sotto, CVE-2019-5599, un altro SACCO Lentezza bug che colpisce FreeBSD 12, e CVE-2019-11479, che provoca l’eccesso di consumo di risorse.
I tre Linux difetti sono relativi e influenzano il kernel gestisce TCP SACK pacchetti con un basso Maximum Segment Size (MSS). RedHat note nella sua consulenza che l’impatto è limitato a un denial of service “in questo momento” e che non può essere utilizzato per una escalation di privilegi di perdita di informazioni.
SACCO è un meccanismo utilizzato per migliorare la rete di inefficienze causate dalla perdita di pacchetti TCP tra il mittente e il destinatario.
I tecnici che hanno redatto SACCO in un IETF standard di spiegare: “TCP potrebbe verificarsi una riduzione delle prestazioni quando più pacchetti vengono persi da una finestra di dati. Con le limitate informazioni disponibili da cumulativo riconoscimenti, TCP mittente può solo conoscere una singola perdita di pacchetti per il tempo di andata e ritorno. Un aggressivo mittente può scegliere di ritrasmettere i pacchetti presto, ma tali segmenti ritrasmessi potrebbe essere già stato ricevuto correttamente.
“Un Riconoscimento Selettivo (SACCO) meccanismo, combinato con un selettivo ripetere la ritrasmissione politica, può aiutare a superare questi limiti. La ricezione TCP invia SACCO di pacchetti per il mittente di informare il mittente dei dati che sono stati ricevuti. Il mittente può quindi trasmettere solo i dati mancanti segmenti.”
L’incidente può accadere a causa di una struttura di dati utilizzati in Linux implementazioni di TCP chiamato Buffer del Socket (SKB), che è in grado di contenere fino a 17 frammenti di dati a pacchetto, secondo RedHat.
Una volta che si è raggiunto il limite, il risultato può essere un kernel panic problema. L’altro fattore è MSS, o la dimensione massima parametro che specifica la quantità totale di dati contenuti nella ricostruzione di un segmento TCP.
“Un utente remoto può attivare questo problema impostando la Dimensione Massima del Segmento (MSS) di una connessione TCP con il suo limite più basso di 48 byte e l’invio di una sequenza di appositamente predisposto SACCO di pacchetti. Più basso MSS lascia solo otto byte di dati per segmento, aumentando così il numero di segmenti TCP necessario per inviare tutti i dati”, spiega RedHat.
Di più su Linux security
I ricercatori di sicurezza di scoprire la versione per Linux di Winnti malwaredi Google Project Zero per le distro Linux: il Vostro pigro patch al kernel mette gli utenti a rischioLinux creatore Linus Torvalds: Questo è ciò che mi spinge dadi sulla sicurezza informaticaLinus Torvalds dice mirati fuzzing è migliorare la sicurezza di LinuxCome eliminare in modo sicuro i file in Linux con srm TechRepublic5 open source Linux distribuzioni server TechRepublic
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO