CVE-2019-11477/78/79 - Sicherheitslücke im Linux Kernel (TCP SACK Panic)

24/06/2019 15:00
- Schwachstellen
- Schwachstellen

Mitarbeiter des Streaming- Dienstes Netflix haben Sicherheitslücken im Netzwerkstack des Linux-Kernels entdeckt, welche sich für DoS- Angriffe ausnutzen lassen.

Die Sicherheitslücke CVE-2019-11477 (TCP SACK Panic), für die alle Linux-Kernel ab einschließlich Version 2.6.29 anfällig sind, wird von RedHat als "wichtig" eingestuft, da sich dadurch aus der Ferne eine Kernel Panic und damit ein Neustart des Systems auslösen lassen. Betroffene Systeme sollten kurzfristig aktualisiert werden.

CVE	Betroffenes OS	Auswirkung
CVE-2019-11477	Linux mit Kernel > 2.6.29	"Integer Overflow" bei der Verarbeitung von SACK- Anfragen. Führt zur "Kernel Panic" und Neustart des betroffenen Systems.
CVE-2019-11478	Linux mit Kernel < 4.14.127	Langsame Verarbeitung von SACK- Anfragen. Führt zur Überlastung des betroffenen Systems.
CVE-2019-11479	Linux	Führt zur Überlastung des betroffenen Systems.

Ob Ihr System betroffen ist, kann man unter RHEL 6/7 oder CentOS 6/7 mit dem von Red Hat bereitgestellten Script überprüfen. Das Script kann auch über den am Ende des Artikels befindlichen Link heruntergeladen werden.

Für RHEL 6/7 oder CentOS 6/7 liegen mit dem aktuellen Kernel- Versionen bereits Patches vor, die nicht mehr für o.g. Sicherheitslücken anfällig sind:

RHEL 7 / CentOS 7: Ab Kernel Version 3.10.0-957.21.3.el7
RHEL 6: Ab Kernel Version 2.6.32-754.15.3.el6
CentOS 6: Derzeit noch kein aktueller Kernel verfügbar.

Eine von NetFlix als schneller Workaround empfohlene Methode für alle Systeme ist die Kontrolle der SACK-Pakete mittels entsprechender Regeln:

-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Alternativ kann man TCP SACK auch komplett deaktivieren:

echo 0 > /proc/sys/net/ipv4/tcp_sack

Permanent sind diese Einstellungen per sysctl möglich. Dazu sind in /etc/sysctl.conf folgende Ergänzungen nötig:

net.ipv4.tcp_sack = 0 net.ipv4.tcp_dsack = 0 net.ipv4.tcp_fack = 0

Diese Einstellungen können anschließen mittels sysctl -p aktiviert werden und bleiben auch nach einem Neustart des Systems wirksam.

Nach unserer Einschätzung dürften diese Lücken künftig eher zu Angriffen auf im Internet erreichbare IoT-Geräte ausgenutzt werden, da diese in vielen Fällen keine oder nur verspätete Updates durch die Hersteller erhalten. Serversysteme, die im Internet auch per ICMP oder SSH erreichbar sind, lassen sich mit einfachen DoS-Amplification Angriffen seit jeher überlasten. Wir empfehlen die zeitnahe Aktualisierung des Kernels und den vorsorglichen Einsatz der Filterregeln zur Vermeidung einer "Kernel Panic".

Weiterführende Informationen:

NetFlix: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Red Hat: https://access.redhat.com/security/vulnerabilities/tcpsack
Red Hat Test Script: https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
Ubuntu: https://usn.ubuntu.com/4017-1
Debian: https://www.debian.org/security/2019/dsa-4465
SUSE: https://www.suse.com/de-de/support/kb/doc/?id=7023928
Cloudflare: https://twitter.com/jgrahamc/status/1140724787242819585
Amazon: https://aws.amazon.com/security/security-bulletins/AWS-2019-005

Share via

CVE-2019-11477/78/79 - Sicherheitslücke im Linux Kernel (TCP SACK Panic)

Related Articles

Categories

Tags