Red Hat kertoi eilen, että se havaitsi kolme suurta haavoittuvuutta Linux-ytimessä. Kolme liittyvää vikaa, CVE-2019-11477, CVE-2019-11478 ja CVE-2019-11479, on löydetty TCP-verkon hallinnasta Linux-ytimen kautta.
Vakavin kolmesta haavoittuvuudesta voi antaa etähyökkääjän aiheuttaa ytimen vian järjestelmissä, joissa on kyseinen paketti, ja vaikuttavat siten järjestelmän vakauteen.
Red Hat selitti eilen, että Linux-ytimessä on havaittu kolme asiaankuuluvaa virhettä matalan MSS-koon SACK-pakettien (TCP selektiivinen kuittaus) käsittelyssä.
Vaikutuksen suuruuden oletetaan rajoittuvan toistaiseksi palvelun epäämiseen. Tällä hetkellä näiden kolmen haavoittuvuuden epäillään aiheuttavan etuoikeutta tai tietovuotoja.
Tietoja haavoittuvuuksista
Yhtiö mainitsi kolme haavoittuvuutta, CVE-2019-11477, CVE-2019-11478 ja CVE-2019-11479. CVE-2019-11477, joita pidetään merkittävänä vakavuutena, kun taas CVE-2019-11478 ja CVE-2019-11479 pidetään kohtalaisina.
Kaksi ensimmäistä haavoittuvuutta liittyvät selektiivisiin tunnistuspaketteihin (SACK) yhdistettynä segmentin enimmäiskokoon (MSS) ja kolmas koskee vain segmentin enimmäiskokoa (MSS).
Selektiivinen TCP-kättely (SACK) on mekanismi, jolla tiedon vastaanottaja voi ilmoittaa lähettäjälle kaikista hyväksytyistä segmenteistä.
Tämä antaa lähettäjän lähettää edelleen virran segmentit, jotka puuttuvat sen "tunnettujen tuotteiden" joukosta. Kun TCP SACK on poistettu käytöstä, koko jakson uudelleenlähettämiseen tarvitaan paljon suurempi joukko uudelleenlähetyksiä.
Segmentin enimmäiskoko (MSS) on TCP-otsikossa määritelty parametri paketin, joka määrittää rekonstruoidun TCP-segmentin sisältämän datan kokonaismäärän.
Koska paketit voivat pirstoutua lähetyksen aikana eri reiteillä, isännän on määritettävä MSS yhtä suureksi kuin koko IP-datagrammien hyötykuorma, joita isäntä voi käsitellä.
Erittäin suuret MSS-koot voivat tarkoittaa, että pakettivirta hajotetaan kun se liikkuu kohti määränpäätä, kun taas pienemmät paketit voivat taata vähemmän pirstoutumista, mutta johtaa käyttämättömiin yleiskustannuksiin.
Los käyttöjärjestelmät ja siirtotyypit voivat käyttää määritettyjä MSS-kokoja oletuksena
Los hyökkääjät, joilla on etuoikeutettu pääsy, voivat luoda raakapaketteja erityisesti tätä hyökkäystä varten suunnitelluilla MSS-vaihtoehdoilla.
Jokaisella TCP-segmentillä on järjestysnumero (SEQ) ja kuitin numero (ACK). Näitä SEQ- ja ACK-numeroita käytetään määrittämään, mitkä segmentit vastaanotin on vastaanottanut onnistuneesti. ACK-numero osoittaa seuraavan segmentin, jonka vastaanottaja odottaa. Red Hat tarjosi esimerkin tämän ymmärtämiseksi.
Vaikuttavat jakelut
Red Hatilla on pitkä luettelo tuotteista, joihin nämä kolme haavoittuvuutta vaikuttavat. Luettelo tuotteista, joihin pääasiallisesti vaikuttaa, on seuraava:
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- Red Hat Atomic -isäntä
- Red Hat Enterprise MRG 2
- Red Hat OpenShift Container Platform 4 (RHEL CoreOS)
- Red Hat OpenShift Online
- Red Hat OpenShift Dedicated (ja riippuvat palvelut)
- OpenShift Azuressa (ARO)
- Red Hat OpenStack -alusta (lähetyskuvan ydin)
- Red Hat-virtualisointi (RHV-H)
Toissijaiset tuotteet:
- Red Hat-virtualisointi (RHV)
- Red Hat OpenStack -alusta
- Red Hat OpenShift -säiliöalusta 3
Yrityksen mukaan vaikka ytimen haavoittuvuudet eivät vaikuta suoraan Red Hat Linux -säilöihin, niiden turvallisuus perustuu isännän ydinympäristön eheyteen.
Red Hat suosittelee, että käytät säilökuvien uusimpia versioita. Red Hat Container Catalogueen sisältyvää Container Health Index -indeksiä voidaan silti käyttää Red Hat -säiliöiden suojaustilan määrittämiseen.
Käytettyjen säilöjen luottamuksellisuuden suojaamiseksi sinun on varmistettava, että säilöisäntä (kuten Red Hat Enterprise Linux, CoreOS tai Atomic-isäntä) on päivitetty näille hyökkäyksille.
Linux-ytimessä ongelmat on korjattu versioissa 4.4.182, 4.9.182, 4.14.127, 4.19.52 ja 5.1.11