RSS-Feed
News
Jun
24
Gepostet von Andreas Wolske an 24 Juni 2019 15:00

Mitarbeiter des Streaming- Dienstes NetFlix haben Sicherheitslücken im Netzwerkstack des Linux-Kernels entdeckt, welche sich für DoS- Angriffe ausnutzen lassen.

Die Sicherheitslücke CVE-2019-11477 (TCP SACK Panic), für die alle Linux-Kernel ab einschließlich Version 2.6.29 anfällig sind, wird von RedHat als "wichtig" eingestuft, da sich dadurch aus der Ferne eine Kernel Panic und damit ein Neustart des Systems auslösen lassen. Betroffene Systeme sollten kurzfristig aktualisiert werden.

CVE Betroffenes OS Auswirkung
CVE-2019-11477 Linux mit Kernel > 2.6.29 "Integer Overflow" bei der Verarbeitung von SACK- Anfragen.
Führt zur "Kernel Panic" und Neustart des betroffenen Systems.
CVE-2019-11478 Linux mit Kernel < 4.14.127 Langsame Verarbeitung von SACK- Anfragen.
Führt zur Überlastung des betroffenen Systems.
CVE-2019-11479 Linux Führt zur Überlastung des betroffenen Systems.

Ob Ihr System betroffen ist, kann man unter RHEL 6/7 oder CentOS 6/7 mit dem von Red Hat bereitgestellten Script überprüfen. Das Script kann auch über den am Ende des Artikels befindlichen Link heruntergeladen werden.

Für RHEL 6/7 oder CentOS 6/7 liegen mit dem aktuellen Kernel- Versionen bereits Patches vor, die nicht mehr für o.g. Sicherheitslücken anfällig sind:

  • RHEL 7 / CentOS 7: Ab Kernel Version 3.10.0-957.21.3.el7
  • RHEL 6: Ab Kernel Version 2.6.32-754.15.3.el6
  • CentOS 6: Derzeit noch kein aktueller Kernel verfügbar.

Eine von NetFlix als schneller Workaround empfohlene Methode für alle Systeme ist die Kontrolle der SACK-Pakete mittels entsprechender Regeln:

-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Alternativ kann man TCP SACK auch komplett deaktivieren:

echo 0 >  /proc/sys/net/ipv4/tcp_sack

Permanent sind diese Einstellungen per sysctl möglich. Dazu sind in /etc/sysctl.conf folgende Ergänzungen nötig:

net.ipv4.tcp_sack = 0
net.ipv4.tcp_dsack = 0
net.ipv4.tcp_fack = 0

Diese Einstellungen können anschließen mittels sysctl -p aktiviert werden und bleiben auch nach einem Neustart des Systems wirksam.

Nach unserer Einschätzung dürften diese Lücken künftig eher zu Angriffen auf im Internet erreichbare IoT-Geräte ausgenutzt werden, da diese in vielen Fällen keine oder nur verspätete Updates durch die Hersteller erhalten. Serversysteme, die im Internet auch per ICMP oder SSH erreichbar sind, lassen sich mit einfachen DoS-Amplification Angriffen seit jeher überlasten. Wir empfehlen die zeitnahe Aktualisierung des Kernels und den vorsorglichen Einsatz der Filterregeln zur Vermeidung einer "Kernel Panic".

Weiterführende Informationen: