CVE-2019-11477/78/79 - Sicherheitslücke im Linux Kernel (TCP SACK Panic)

Wissensdatenbank

(87)Zimbra Collaboration (34)Web Hosting (8)FileCloud Sync and Share (12)Zertifikate und TLS (7)Support und Ticketsystem (6)Red Hat Enterprise Linux (43)Cloud Director (52)Nützliche Informationen (51)IT Sicherheit (38)Managed Hosting vCloud (4)veeam (12)managedhosting.de GmbH (3)NextCloud (1)Verträge und Rechnungen (1)Domains

Wissensdatenbank: IT Sicherheit

Gepostet von Andreas Wolske an 24 Juni 2019 14:57

Mitarbeiter des Streaming- Dienstes NetFlix haben Sicherheitslücken im Netzwerkstack des Linux-Kernels entdeckt, welche sich für DoS- Angriffe ausnutzen lassen.

Die Sicherheitslücke CVE-2019-11477 (TCP SACK Panic), für die alle Linux-Kernel ab einschließlich Version 2.6.29 anfällig sind, wird von RedHat als "wichtig" eingestuft, da sich dadurch aus der Ferne eine Kernel Panic und damit ein Neustart des Systems auslösen lassen. Betroffene Systeme sollten kurzfristig aktualisiert werden.

CVE	Betroffenes OS	Auswirkung
CVE-2019-11477	Linux mit Kernel > 2.6.29	"Integer Overflow" bei der Verarbeitung von SACK- Anfragen. Führt zur "Kernel Panic" und Neustart des betroffenen Systems.
CVE-2019-11478	Linux mit Kernel < 4.14.127	Langsame Verarbeitung von SACK- Anfragen. Führt zur Überlastung des betroffenen Systems.
CVE-2019-11479	Linux	Führt zur Überlastung des betroffenen Systems.

Ob Ihr System betroffen ist, kann man unter RHEL 6/7 oder CentOS 6/7 mit dem von Red Hat bereitgestellten Script überprüfen. Das Script kann auch über den am Ende des Artikels befindlichen Link heruntergeladen werden.

Für RHEL 6/7 oder CentOS 6/7 liegen mit dem aktuellen Kernel- Versionen bereits Patches vor, die nicht mehr für o.g. Sicherheitslücken anfällig sind:

RHEL 7 / CentOS 7: Ab Kernel Version 3.10.0-957.21.3.el7
RHEL 6: Ab Kernel Version 2.6.32-754.15.3.el6
CentOS 6: Derzeit noch kein aktueller Kernel verfügbar.

Eine von NetFlix als schneller Workaround empfohlene Methode für alle Systeme ist die Kontrolle der SACK-Pakete mittels entsprechender Regeln:

-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Alternativ kann man TCP SACK auch komplett deaktivieren:

echo 0 > /proc/sys/net/ipv4/tcp_sack

Permanent sind diese Einstellungen per sysctl möglich. Dazu sind in /etc/sysctl.conf folgende Ergänzungen nötig:

net.ipv4.tcp_sack = 0 net.ipv4.tcp_dsack = 0 net.ipv4.tcp_fack = 0

Diese Einstellungen können anschließen mittels sysctl -p aktiviert werden und bleiben auch nach einem Neustart des Systems wirksam.

Nach unserer Einschätzung dürften diese Lücken künftig eher zu Angriffen auf im Internet erreichbare IoT-Geräte ausgenutzt werden, da diese in vielen Fällen keine oder nur verspätete Updates durch die Hersteller erhalten. Serversysteme, die im Internet auch per ICMP oder SSH erreichbar sind, lassen sich mit einfachen DoS-Amplification Angriffen seit jeher überlasten. Wir empfehlen die zeitnahe Aktualisierung des Kernels und den vorsorglichen Einsatz der Filterregeln zur Vermeidung einer "Kernel Panic".

Weiterführende Informationen:

NetFlix: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Red Hat: https://access.redhat.com/security/vulnerabilities/tcpsack
Red Hat Test Script: https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
Ubuntu: https://usn.ubuntu.com/4017-1
Debian: https://www.debian.org/security/2019/dsa-4465
SUSE: https://www.suse.com/de-de/support/kb/doc/?id=7023928
Cloudflare: https://twitter.com/jgrahamc/status/1140724787242819585
Amazon: https://aws.amazon.com/security/security-bulletins/AWS-2019-005

Anhänge
Anhänge

cve-2019-11477--2019-06-17-1629.sh (28.03 KB)

(0 Stimme(n))

Hilfreich

Nicht hilfreich

Unsere Produkte und Dienstleistungen:

[ PaaS for Cloud Native Apps ] [ PaaS for e-Commerce ] [ PaaS for Webapplications ] [ IaaS & vCloud Director ]
[ Private- & Hybrid- Clouds ] [ veeam Cloud Connect ] [ Site Recovery Manager ] [ vCloud Availability ]
[ Zimbra Collaboration ] [ Filecloud ] [ Nextcloud ]

Help Desk Software von Kayako