forum.opennet.ru

Составление сообщения

Исходное сообщение

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено opennews, 07-Авг-18 00:40

В TCP-стеке ядра Linux выявлена (https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...) опасная уязвимость (https://www.kb.cert.org/vuls/id/962459) (CVE-2018-5390 (https://security-tracker.debian.org/tracker/CVE-2018-5390)), которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый  TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).

Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Затрачиваемых при выполнении данных вызовов ресурсов достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например,  для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно (https://access.redhat.com/articles/3553061) потока интенсивностью всего 2 тысячи пакетов в секунду.
   141 root      20   0       0      0      0 R  97.3  0.0   1:16.33 ksoftirqd/26
   151 root      20   0       0      0      0 R  97.3  0.0   1:16.68 ksoftirqd/28
   136 root      20   0       0      0      0 R  97.0  0.0   0:39.09 ksoftirqd/25
   161 root      20   0       0      0      0 R  97.0  0.0   1:16.48 ksoftirqd/30
Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в обновлении ядра 4.17.12. Обновления пакетов подготовлены для  Debian (https://security-tracker.debian.org/tracker/CVE-2018-5390), SUSE (https://www.suse.com/security/cve/CVE-2018-5390/) и Fedora, и ожидаются для Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5390).

URL: https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49094

Исходное сообщение
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..." Отправлено opennews, 07-Авг-18 00:40
В TCP-стеке ядра Linux выявлена (https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...) опасная уязвимость (https://www.kb.cert.org/vuls/id/962459) (CVE-2018-5390 (https://security-tracker.debian.org/tracker/CVE-2018-5390)), которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения). Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Затрачиваемых при выполнении данных вызовов ресурсов достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например, для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно (https://access.redhat.com/articles/3553061) потока интенсивностью всего 2 тысячи пакетов в секунду. 141 root 20 0 0 0 0 R 97.3 0.0 1:16.33 ksoftirqd/26 151 root 20 0 0 0 0 R 97.3 0.0 1:16.68 ksoftirqd/28 136 root 20 0 0 0 0 R 97.0 0.0 0:39.09 ksoftirqd/25 161 root 20 0 0 0 0 R 97.0 0.0 1:16.48 ksoftirqd/30 Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в обновлении ядра 4.17.12. Обновления пакетов подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5390), SUSE (https://www.suse.com/security/cve/CVE-2018-5390/) и Fedora, и ожидаются для Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5390). URL: https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil... Новость: https://www.opennet.ru/opennews/art.shtml?num=49094

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В TCP-стеке ядра Linux выявлена (https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerability.html) 
> опасная уязвимость (https://www.kb.cert.org/vuls/id/962459) (CVE-2018-5390 (https://security-tracker.debian.org/tracker/CVE-2018-5390)), 
> которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов 
> CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов 
> на любой открытый  TCP-порт. Атака может быть совершена только с 
> реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).

> Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении 
> каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). 
> Затрачиваемых при выполнении данных вызовов ресурсов достаточно, чтобы полностью загрузить 
> процессор при обработке потока с незначительной интенсивностью. Например,  для появления 
> существенных задержек в обработке запросов системой для каждого ядра CPU достаточно 
> (https://access.redhat.com/articles/3553061) потока интенсивностью всего 2 тысячи 
> пакетов в секунду.

>    141 root      20  
>  0       0   
>    0      0 R 
>  97.3  0.0   1:16.33 ksoftirqd/26 
>    151 root      20  
>  0       0   
>    0      0 R 
>  97.3  0.0   1:16.68 ksoftirqd/28 
>    136 root      20  
>  0       0   
>    0      0 R 
>  97.0  0.0   0:39.09 ksoftirqd/25 
>    161 root      20  
>  0       0   
>    0      0 R 
>  97.0  0.0   1:16.48 ksoftirqd/30

> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может 
> быть проведена и против более старых ядер, но требует существенного более 
> интенсивного потока пакетов). Проблема устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1a4f14bab1868b443f0dd3c55b689a478f82e72e) 
> в обновлении ядра 4.17.12. Обновления пакетов подготовлены для  Debian (https://security-tracker.debian.org/tracker/CVE-2018-5390), 
> SUSE (https://www.suse.com/security/cve/CVE-2018-5390/) и Fedora, и ожидаются для Ubuntu 
> (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5390.html) и 
> RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5390).

> URL: https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerability.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49094

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру