Netflix研究人员发现了Linux和FreeBSD中的TCP SACK漏洞

・2 分钟阅读

在FreeBSD和Linux内核中发现三个漏洞,攻击者通过阻塞受影响的系统上的网络i/o来引发拒绝服务 。

从2.6.29或更高版本(2009年3月起)影响所有Linux发行版内核,Looney将它描述为:

SACK代表选择性确认,它是近二十年前引入的,用于在重新发送包时帮助提高TCP性能。

补丁vs 缓解

SACK Panic 缺陷可以通过应用 PATCH_net_1_4.patch 或者也可以通过禁用SACK处理来缓解(/proc/sys/net/ipv4/tcp_sack 设置为0),同时注意这可能会中断需要较低的最大段大小(MSS )的连接。

另外,内核包括4.14的内核版本需要另一个补丁: PATCH_net_1a.patch

资源使用过多/SACK缓慢(CVE-2019-11478 )所需的修复程序 使用PATCH_net_2_4.patch,或者通过应用缓解方法,例如,禁用SACK处理。

SACK Slowness (CVE-2019-5599 )影响FreeBSD,缓解的方法是应用split_limit.patch 或暂时禁用RACK TCP栈。

最后,由于内存不足导致的带宽消耗过多 (CVE-2019-11479 ),补丁是 PATCH_net_3_4.patch 和 PATCH_net_4_4.patch,添加一个强制执行最小MSS的sysctl。

可以在支持站点上找到受影响的分发的说明 AmazonRed Hat,Debian,SUSE,以及Ubuntu 。

尽管支持SACK,Apple的macOS(从NeXTSTEP时代追溯到Darwin FreeBSD端口的历史),并且未提及与警报相关的任何地方。

Hrh profile image