Google Project Zero beschuldigt Linux van slordig patching kernel
Project Zero beschuldigt Linux distributies van het verlaten van de gebruikers blootgesteld aan bekende kernel kwetsbaarheden voor weken.
Organisaties runnen van grote wagenparken van de productie Linux-computers worden aangespoord om het toepassen van nieuwe patches om te stoppen met externe aanvallers het crashen van de machines. Drie gebreken van invloed zijn op hoe de Linux kernel omgaan met TCP netwerken en een invloed op de FreeBSD TCP-stack.
De meest ernstige van de vier gebreken, CVE-2019-11477, heet ZAK Paniek, verwijzend naar de Linux kernel TCP Selective Acknowledgement (ZAK) mogelijkheden.
Externe aanvallers kunnen maken van deze fout leiden tot een kernel ‘paniek’ die kunnen crash van een machine, wat leidt tot een denial of service. Dit is van invloed op Linux kernel versies van 2.6.29 en boven.
Netflix gedetailleerde fouten in een adviserende geplaatst op GitHub en heeft gezamenlijk nominaal ze als kritische ernst van de gebreken. Echter, RedHat individueel tarieven ZAK Paniek als het hebben van een ‘belangrijke’ ernst, terwijl de resterende bugs worden beschouwd als ‘matig’.
Maar Netflix kritische beoordeling zou zinvol zijn als externe aanvallers konden naar beneden de video-streaming giant ‘ s Linux-machines, die waarschijnlijk worden gehost op Amazon Web Services (AWS) infrastructuur.
Op die opmerking, AWS heeft updates uitgebracht voor de drie Linux-fouten, die beïnvloed AWS Elastische Bonenstaak, Amazon Linux, Linux-gebaseerde EC2 gevallen, Amazon Linux-Werkruimten en Amazon ‘ s Kubernetes container service.
Sommige diensten, zoals Amazon ElastiCache zijn niet kwetsbaar als links in de standaard instellingen, maar kan worden indien de klant de gewijzigde configuratie.
De andere bugs zijn CVE-2019-11478 of ZAK Traagheid, die van invloed is op Linux 4.15 en hieronder, CVE-2019-5599, een andere ZAK Traagheid bug die invloed heeft op FreeBSD 12, en CVE-2019-11479, waardoor overmatige consumptie van hulpbronnen.
De drie Linux-gebreken zijn verbonden en hebben invloed op hoe de kernel omgaan met TCP ZAK pakketten met lage Maximum Segment Size (MSS). RedHat merkt in haar advies dat de impact is beperkt tot een denial of service “op dit moment” en dat hij niet gebruikt kan worden voor rechten escalatie van lekken van informatie.
ZAK is een mechanisme dat wordt gebruikt voor het verbeteren van het netwerk inefficiëntie veroorzaakt door TCP packet loss tussen de verzender en de ontvanger.
De ingenieurs, die opgesteld ZAK in een IETF – standaard uit te leggen: “TCP slechte prestaties kunnen optreden wanneer meerdere pakketten verloren gaan van het ene venster van gegevens. Met de beperkte informatie die beschikbaar is van cumulatieve licentie, een TCP afzender alleen maar kunt leren over een verloren pakje per round trip time. Een agressieve afzender kan kiezen om doorgifte van pakketten vroeg op, maar dergelijke verzonden segmenten kan reeds met succes ontvangen.
“Een Selectieve Erkenning (ZAK) – mechanisme gecombineerd met een selectieve herhaal de doorgifte beleid, kan helpen bij het overwinnen van deze beperkingen. De ontvangende TCP terug stuurt ZAK pakketten naar de afzender informeren van de afzender van gegevens die zijn ontvangen. De afzender kan dan stuurt alleen de ontbrekende gegevens segmenten.”
De crash kan gebeuren als gevolg van een data-structuur gebruikt in Linux TCP implementaties genoemd Socket Buffer (SKB), die een capaciteit heeft van 17 fragmenten van packet-gegevens, volgens RedHat.
Zodra deze limiet is bereikt, kan dit leiden tot een kernel panic probleem. De andere factor is MSS, of de maximale grootte van de parameter, die hiermee geeft u het totale bedrag van de gegevens opgenomen in de reconstructie van een TCP-segment te gebruiken.
“Een externe gebruiker dit probleem kan activeren door de instelling van de Maximum Segment Size (MSS) van een TCP-verbinding met de laagste limiet van 48 bytes en het verzenden van een reeks speciaal vervaardigde ZAK pakketten. Laagste MSS laat slechts acht bytes data per segment, waardoor het aantal TCP-segmenten vereist voor het verzenden van alle gegevens,” legt RedHat.
Meer over het Linux security
Beveiliging onderzoekers ontdekken Linux-versie van de Winnti malwareGoogle Project Zero tot de Linux-distro ‘ s: Uw trage patching kernel stelt gebruikers in gevaarLinux-schepper Linus Torvalds: Dit is wat mij drijft noten over IT-beveiligingLinus Torvalds zegt gerichte fuzzing is het verbeteren van Linux securityHoe veilig verwijderen van bestanden in Linux met srm TechRepublic5 beste open source server Linux distributies TechRepublic
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO