A Red Hat tegnap arról számolt be, hogy három fő sebezhetőséget azonosított a Linux kernelben. Három kapcsolódó hiba, CVE-2019-11477, CVE-2019-11478 és CVE-2019-11479, megtalálhatók a TCP hálózat Linux Kernel általi kezelésében.
A legkomolyabb a három sebezhetőség közül lehetővé teheti egy távoli támadó számára a kernel meghibásodását az érintett csomagot futtató rendszereken, és ezáltal befolyásolja a rendszer stabilitását.
A Red Hat tegnap kifejtette, hogy három kapcsolódó hibát fedeztek fel az alacsony MSS méretű SACK (TCP szelektív nyugtázás) csomagok Linux Kernel általi kezelésében.
Feltételezzük, hogy a hatás egyelőre a szolgáltatás megtagadására korlátozódik. Jelenleg a három biztonsági rés esetében nem feltételezhető a jogosultság vagy az információ kiszivárgásának emelése.
A sebezhetőségekről
A vállalat három sérülékenységre hivatkozott: CVE-2019-11477, CVE-2019-11478 és CVE-2019-11479. A CVE-2019-11477, amelyek jelentős súlyosságnak számítanak, míg a CVE-2019-11478 és a CVE-2019-11479 közepes súlyosságúnak.
Az első két biztonsági rés a szelektív felismerési csomagokkal (SACK) kapcsolatos a maximális szegmensmérettel (MSS) kombinálva, a harmadik pedig csak a maximális szegmensmérettel (MSS) vonatkozik.
A szelektív TCP kézfogás (SACK) egy olyan mechanizmus, amellyel az adatok címzettje tájékoztathatja a küldőt az összes elfogadott szegmensről.
Ez lehetővé teszi a feladónak, hogy továbbítsa az adatfolyam azon szakaszait, amelyek hiányoznak az "ismert termékek" készletéből. Ha a TCP SACK ki van kapcsolva, akkor egy teljes sorozat újraküldéséhez sokkal nagyobb számú továbbításra van szükség.
A maximális szegmensméret (MSS) a TCP fejlécben definiált paraméter egy csomagot, amely meghatározza a rekonstruált TCP szegmens teljes adatmennyiségét.
Mivel a csomagok szétaprózódhatnak az átvitel során különböző útvonalakon, a gazdagépnek meg kell határoznia az MSS-t, amely megegyezik a legnagyobb mérettel a gazdagép által kezelhető IP-datagrammok hasznos terhe.
A nagyon nagy MSS-méretek azt jelenthetik, hogy egy csomagfolyam végül felaprózódik miközben a cél felé halad, míg a kisebb csomagok kisebb széttöredezést garantálhatnak, de fel nem használt rezsit eredményeznek.
sok az operációs rendszerek és a szállítási típusok meghatározott MSS méreteket használhatnak alapértelmezés szerint
sok a privilegizált hozzáféréssel rendelkező támadók nyers csomagokat készíthetnek kifejezetten erre a támadásra tervezett MSS opciókkal.
Minden TCP szegmensnek van sorszáma (SEQ) és nyugta száma (ACK). Ezeket a SEQ és ACK számokat használjuk annak meghatározására, hogy mely szegmenseket fogadta sikeresen a vevő. Az ACK szám jelzi a címzett által várt következő szegmenst. Red Hat adott példát ennek megértésére.
Érintett disztribúciók
A Red Hat hosszú listát tartalmaz a három sérülékenység által érintett termékekről. Az elsősorban érintett termékek listája a következő:
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- Red Hat Atomic Host
- Red Hat Enterprise MRG 2
- Red Hat OpenShift konténerplatform 4 (RHEL CoreOS)
- Red Hat OpenShift Online
- Red Hat OpenShift dedikált (és függő szolgáltatások)
- OpenShift az Azure-on (ARO)
- Red Hat OpenStack platform (Shipping Image Kernel)
- Red Hat virtualizáció (RHV-H)
Másodlagos érintett termékek:
- Red Hat virtualizáció (RHV)
- Red Hat OpenStack platform
- Red Hat OpenShift konténerplatform 3
A cég szerint bár a rendszermag sérülékenységei közvetlenül nem érintik a Red Hat Linux-tárolókat, biztonságuk a gazdagép kernel környezetének integritásán alapul.
A Red Hat azt javasolja, hogy használja a konténer képek legújabb verzióit. A Red Hat konténerkatalógus részét képező Container Health Index továbbra is felhasználható a Red Hat konténerek biztonsági állapotának meghatározására.
A használt tárolók titkosságának védelme érdekében meg kell győződnie arról, hogy a tároló gazdagépe (például a Red Hat Enterprise Linux, a CoreOS vagy az Atomic gazdagép) frissítve lett-e ezekhez a támadásokhoz.
A Linux kernelben a problémákat a 4.4.182, 4.9.182, 4.14.127, 4.19.52 és 5.1.11 verziókban javítják