[Warning] Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)

Dimitri Robl robl at cert.at
Tue Jun 18 11:20:11 CEST 2019 

18. Juni 2019

Beschreibung

   Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP
   Selective Acknowledgement (SACK) und der TCP Minimum Segment Size
   (MSS)im Linux Kernel gefunden.

   Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit
   niedriger MSS kann es zu einem Integer-Overflow kommen, der eine
   Kernel-Panic auslöst. Es handelt sich also um einen Denial-of-Service
   Angriff, der über ein Netzwerk wie z.B. das Internet ausgeführt
   werden kann.

Auswirkungen

   Das betroffene System reagiert nicht mehr und muss neugestartet
   werden.

Betroffene Systeme

   Alle Linux Kernel seit Version 2.6.29, die vor etwas mehr als 10
   Jahren veröffentlicht wurde.

Abhilfe

   Patches für den Kernel sind bereits verfügbar (die URLs zu den
   Patches finden Sie im unten verlinkten Advisory), einige Linux-
   Distributionen haben auch schon Updates bereitgestellt.

   Für die Zeit bis zum Neustart kann auch eine der folgenden
   Sofortmaßnahmen eingesetzt werden:
     * Verbindungen mit einer sehr niedrigen MSS auf der Firewall
       blockieren. Beispielhafte Filterregeln finden sich im unten
       verlinkten Advisory.
     * Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart.
       Führen Sie dazu den Befehl

       sysctl -w net.ipv4.tcp_sack=0

       als root aus. Sollte es bei Ihrem System nicht möglich sein, den
       Kernel upzudaten, können sie diesen Workaround dauerhaft
       implementieren, indem Sie den folgenden Befehl als root
       ausführen:

       echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Netflix Advisory (englisch)

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md


-- 
// Dimitri Robl <robl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190618/914c34b7/attachment.sig>

More information about the Warning mailing list