„Red Hat“ vakar pranešė, kad nustatė tris pagrindines „Linux“ branduolio spragas. Trys susiję gedimai, CVE-2019-11477, CVE-2019-11478 ir CVE-2019-11479, buvo rasti valdant TCP tinklą „Linux“ branduolyje.
Rimčiausias iš trijų pažeidžiamumų nuotolinis užpuolikas gali sukelti branduolio gedimą sistemose, kuriose veikia paveiktas paketas, ir taip turi įtakos sistemos stabilumui.
„Red Hat“ vakar paaiškino, kad „Linux“ branduolyje aptikti trys susiję trūkumai, susiję su mažo MSS dydžio SACK (TCP selektyvaus patvirtinimo) paketų valdymu.
Manoma, kad poveikio mastas šiuo metu apsiriboja paslaugų atsisakymu. Šiuo metu nėra įtariama, kad dėl trijų pažeidžiamumų būtų padidinta privilegija ar informacijos nutekėjimas.
Apie pažeidžiamumus
Bendrovė nurodė tris pažeidžiamumus: CVE-2019-11477, CVE-2019-11478 ir CVE-2019-11479. CVE-2019-11477, kurie laikomi reikšmingu sunkumu, o CVE-2019-11478 ir CVE-2019-11479 - vidutinio sunkumo.
Pirmieji du pažeidžiamumai yra susiję su atrankinio atpažinimo paketais (SACK) kartu su maksimaliu segmento dydžiu (MSS), o trečiasis susijęs tik su maksimaliu segmento dydžiu (MSS).
Pasirenkamasis TCP rankos paspaudimas (SACK) yra mechanizmas, kuriuo duomenų gavėjas gali informuoti siuntėją apie visus priimtus segmentus.
Tai leidžia siuntėjui pakartotinai perduoti srauto segmentus, kurių nėra jo „žinomų produktų“ rinkinyje. Kai TCP SACK yra išjungtas, norint persiųsti visą seką, reikia daug didesnio retransliavimo rinkinio.
Maksimalus segmento dydis (MSS) yra parametras, apibrėžtas TCP antraštėje paketo, kuriame nurodomas bendras duomenų kiekis, esantis rekonstruotame TCP segmente.
Kadangi paketai gali būti suskaidyti perduodant skirtingais keliais, pagrindinis kompiuteris turi nurodyti MSS kaip didžiausią dydį IP duomenų gramų, kurias priegloba gali tvarkyti, naudingoji apkrova.
Labai dideli MSS dydžiai gali reikšti, kad paketų srautas galiausiai suskaidomas judant link paskirties vietos, tuo tarpu mažesni paketai gali garantuoti mažesnį fragmentavimąsi, tačiau gali sukelti nepanaudotas pridėtines išlaidas.
Los operacinės sistemos ir transporto rūšys gali naudoti nurodytus MSS dydžius pagal nutylėjimą
Los užpuolikai, turintys privilegijuotą prieigą, gali sukurti neapdorotus paketus su specialiai šiai atakai sukurtomis MSS parinktimis.
Kiekvienas TCP segmentas turi sekos numerį (SEQ) ir kvito numerį (ACK). Šie SEQ ir ACK numeriai naudojami nustatant, kuriuos segmentus imtuvas sėkmingai gavo. ACK numeris nurodo kitą segmentą, kurio tikisi gavėjas. „Red Hat“ pateikė pavyzdį, kaip tai suprasti.
Paveikti paskirstymai
„Red Hat“ turi ilgą produktų, kuriuos paveikė šios trys spragos, sąrašą. Produktų, kuriems daugiausia įtakos turi, sąrašas yra toks:
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- „Red Hat“ atominis kompiuteris
- „Red Hat Enterprise MRG 2“
- „Red Hat OpenShift“ konteinerių platforma 4 (RHEL CoreOS)
- „Red Hat OpenShift Online“
- „Red Hat OpenShift Dedicated“ (ir priklausomos paslaugos)
- „OpenShift“ „Azure“ (ARO)
- „Red Hat OpenStack“ platforma (pristatymo vaizdo branduolys)
- „Red Hat“ virtualizavimas (RHV-H)
Antriniai paveikti produktai:
- „Red Hat“ virtualizavimas (RHV)
- „Red Hat OpenStack“ platforma
- „Red Hat OpenShift“ konteinerių platforma 3
Pasak bendrovės, nors branduolio pažeidžiamumas tiesiogiai neveikia „Red Hat Linux“ konteinerių, jų saugumas grindžiamas pagrindinio kompiuterio branduolio aplinkos vientisumu.
„Red Hat“ rekomenduoja naudoti naujausias sudėtinių rodinių vaizdų versijas. Konteinerių sveikatos indeksas, kuris yra „Red Hat“ konteinerių katalogo dalis, vis dar gali būti naudojamas nustatant „Red Hat“ konteinerių saugos būseną.
Norėdami apsaugoti naudotų sudėtinių rodinių konfidencialumą, turite įsitikinti, kad šioms atakoms buvo atnaujintas sudėtinių rodinių pagrindinis kompiuteris (pvz., „Red Hat Enterprise Linux“, „CoreOS“ arba „Atomic“ kompiuteris).
„Linux“ branduolyje klausimai taisomi 4.4.182, 4.9.182, 4.14.127, 4.19.52 ir 5.1.11 versijose