Mitarbeiter des Streaming- Dienstes Netflix haben Sicherheitslücken im Netzwerkstack des Linux-Kernels entdeckt, welche sich für DoS- Angriffe ausnutzen lassen.
Die Sicherheitslücke CVE-2019-11477 (TCP SACK Panic), für die alle Linux-Kernel ab einschließlich Version 2.6.29 anfällig sind, wird von RedHat als "wichtig" eingestuft, da sich dadurch aus der Ferne eine Kernel Panic und damit ein Neustart des Systems auslösen lassen. Betroffene Systeme sollten kurzfristig aktualisiert werden.
CVE | Betroffenes OS | Auswirkung |
CVE-2019-11477 | Linux mit Kernel > 2.6.29 | "Integer Overflow" bei der Verarbeitung von SACK- Anfragen. Führt zur "Kernel Panic" und Neustart des betroffenen Systems. |
CVE-2019-11478 | Linux mit Kernel < 4.14.127 | Langsame Verarbeitung von SACK- Anfragen. Führt zur Überlastung des betroffenen Systems. |
CVE-2019-11479 | Linux | Führt zur Überlastung des betroffenen Systems. |
Ob Ihr System betroffen ist, kann man unter RHEL 6/7 oder CentOS 6/7 mit dem von Red Hat bereitgestellten Script überprüfen. Das Script kann auch über den am Ende des Artikels befindlichen Link heruntergeladen werden.
Für RHEL 6/7 oder CentOS 6/7 liegen mit dem aktuellen Kernel- Versionen bereits Patches vor, die nicht mehr für o.g. Sicherheitslücken anfällig sind:
Eine von NetFlix als schneller Workaround empfohlene Methode für alle Systeme ist die Kontrolle der SACK-Pakete mittels entsprechender Regeln:
-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
Alternativ kann man TCP SACK auch komplett deaktivieren:
echo 0 > /proc/sys/net/ipv4/tcp_sack
Permanent sind diese Einstellungen per sysctl möglich. Dazu sind in /etc/sysctl.conf
folgende Ergänzungen nötig:
net.ipv4.tcp_sack = 0
net.ipv4.tcp_dsack = 0
net.ipv4.tcp_fack = 0
Diese Einstellungen können anschließen mittels sysctl -p
aktiviert werden und bleiben auch nach einem Neustart des Systems wirksam.
Nach unserer Einschätzung dürften diese Lücken künftig eher zu Angriffen auf im Internet erreichbare IoT-Geräte ausgenutzt werden, da diese in vielen Fällen keine oder nur verspätete Updates durch die Hersteller erhalten. Serversysteme, die im Internet auch per ICMP oder SSH erreichbar sind, lassen sich mit einfachen DoS-Amplification Angriffen seit jeher überlasten. Wir empfehlen die zeitnahe Aktualisierung des Kernels und den vorsorglichen Einsatz der Filterregeln zur Vermeidung einer "Kernel Panic".
Weiterführende Informationen: