forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."
Отправлено opennews, 15-Авг-18 13:39

Следом за выявленной (https://www.opennet.ru/opennews/art.shtml?num=49094) на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована (http://seclists.org/oss-sec/2018/q3/119) информация о другой похожей уязвимости (https://www.kb.cert.org/vuls/id/641765) (CVE-2018-5391 (https://security-tracker.debian.org/tracker/CVE-2018-5391), кодовое имя FragmentSmack (https://bugzilla.redhat.com/show_bug.cgi?id=1609664)), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого  будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает (https://access.redhat.com/articles/3553061) алгоритм пересборки фрагментированных IP-пакетов.
Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом.  В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки:  для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно  2 тысячи пакетов в секунду.
Наличие проблемы подтверждено в TCP стеках Linux (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В ядре Linux проблема проявляется начиная с выпуска ядра 3.9.  Обновления с устранением проблемы подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5391), Fedora, SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-5391), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5391) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В качестве обходного пути защиты в Linux можно
снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.
    sysctl -w net.ipv4.ipfrag_low_thresh=262144
    sysctl -w net.ipv4.ipfrag_high_thresh=196608
    sysctl -w net.ipv6.ip6frag_low_thresh=262144
    sysctl -w net.ipv6.ip6frag_high_thresh=196608
Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:
    sysctl net.inet.ip.maxfragpackets=0
    sysctl net.inet6.ip6.maxfrags=0
URL: http://seclists.org/oss-sec/2018/q3/119
Новость: https://www.opennet.ru/opennews/art.shtml?num=49135

Исходное сообщение
"Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..." Отправлено opennews, 15-Авг-18 13:39
Следом за выявленной (https://www.opennet.ru/opennews/art.shtml?num=49094) на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована (http://seclists.org/oss-sec/2018/q3/119) информация о другой похожей уязвимости (https://www.kb.cert.org/vuls/id/641765) (CVE-2018-5391 (https://security-tracker.debian.org/tracker/CVE-2018-5391), кодовое имя FragmentSmack (https://bugzilla.redhat.com/show_bug.cgi?id=1609664)), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает (https://access.redhat.com/articles/3553061) алгоритм пересборки фрагментированных IP-пакетов. Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду. Наличие проблемы подтверждено в TCP стеках Linux (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5391), Fedora, SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-5391), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5391) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18�...). В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений. sysctl -w net.ipv4.ipfrag_low_thresh=262144 sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl -w net.ipv6.ip6frag_low_thresh=262144 sysctl -w net.ipv6.ip6frag_high_thresh=196608 Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов: sysctl net.inet.ip.maxfragpackets=0 sysctl net.inet6.ip6.maxfrags=0 URL: http://seclists.org/oss-sec/2018/q3/119 Новость: https://www.opennet.ru/opennews/art.shtml?num=49135

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Следом за выявленной (https://www.opennet.ru/opennews/art.shtml?num=49094) на прошлой 
> неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована 
> (http://seclists.org/oss-sec/2018/q3/119) информация о другой похожей уязвимости (https://www.kb.cert.org/vuls/id/641765) 
> (CVE-2018-5391 (https://security-tracker.debian.org/tracker/CVE-2018-5391), кодовое 
> имя FragmentSmack (https://bugzilla.redhat.com/show_bug.cgi?id=1609664)), которая 
> также позволяет организовать отказ в обслуживании через отправку специально оформленного 
> набора сетевых пакетов, при обработке которого  будут заняты все реcурсы 
> CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, 
> то новая проблема затрагивает (https://access.redhat.com/articles/3553061) алгоритм 
> пересборки фрагментированных IP-пакетов.

> Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых 
> смещение фрагмента установлено случайным образом.  В отличие от прошлой уязвимости 
> SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки 
> пакетов с указанием несуществующего IP). При этом для новой атаки требуется 
> большая интенсивность отправки:  для полной утилизации ресурсов одного ядра CPU 
> Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в 
> секунду, в то время как для SegmentSmack было достаточно  2 
> тысячи пакетов в секунду.

> Наличие проблемы подтверждено в TCP стеках Linux (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c2a936600f78aea00d3312ea4b66a79a4619f9b4) 
> и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18%3A10.ip.asc). 
> В ядре Linux проблема проявляется начиная с выпуска ядра 3.9.  
> Обновления с устранением проблемы подготовлены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-5391), 
> Fedora, SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-5391), 
> Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5391.html), 
> RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5391) и FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-18%3A10.ip.asc). 
> В качестве обходного пути защиты в Linux можно 
> снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 
> 256kB и 192kB или ещё меньших значений.

>     sysctl -w net.ipv4.ipfrag_low_thresh=262144 
>     sysctl -w net.ipv4.ipfrag_high_thresh=196608 
>     sysctl -w net.ipv6.ip6frag_low_thresh=262144 
>     sysctl -w net.ipv6.ip6frag_high_thresh=196608

> Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных 
> пакетов:

>     sysctl net.inet.ip.maxfragpackets=0 
>     sysctl net.inet6.ip6.maxfrags=0

> URL: http://seclists.org/oss-sec/2018/q3/119 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49135

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру