[Warning] Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)
Dimitri Robl
robl at cert.at
Tue Jun 18 11:20:11 CEST 2019
18. Juni 2019
Beschreibung
Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP
Selective Acknowledgement (SACK) und der TCP Minimum Segment Size
(MSS)im Linux Kernel gefunden.
Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit
niedriger MSS kann es zu einem Integer-Overflow kommen, der eine
Kernel-Panic auslöst. Es handelt sich also um einen Denial-of-Service
Angriff, der über ein Netzwerk wie z.B. das Internet ausgeführt
werden kann.
Auswirkungen
Das betroffene System reagiert nicht mehr und muss neugestartet
werden.
Betroffene Systeme
Alle Linux Kernel seit Version 2.6.29, die vor etwas mehr als 10
Jahren veröffentlicht wurde.
Abhilfe
Patches für den Kernel sind bereits verfügbar (die URLs zu den
Patches finden Sie im unten verlinkten Advisory), einige Linux-
Distributionen haben auch schon Updates bereitgestellt.
Für die Zeit bis zum Neustart kann auch eine der folgenden
Sofortmaßnahmen eingesetzt werden:
* Verbindungen mit einer sehr niedrigen MSS auf der Firewall
blockieren. Beispielhafte Filterregeln finden sich im unten
verlinkten Advisory.
* Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart.
Führen Sie dazu den Befehl
sysctl -w net.ipv4.tcp_sack=0
als root aus. Sollte es bei Ihrem System nicht möglich sein, den
Kernel upzudaten, können sie diesen Workaround dauerhaft
implementieren, indem Sie den folgenden Befehl als root
ausführen:
echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Netflix Advisory (englisch)
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
--
// Dimitri Robl <robl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190618/914c34b7/attachment.sig>
More information about the Warning
mailing list