Linux va FreeBSD TCP steklarida aniqlangan DoS zaifliklari
Zaifliklar ko‘plab qurilmalar, jumladan serverlar va Android-ga asoslangan gadjetlar uchun xavf tug‘dirishi mumkin.
Linux va FreeBSD TCP steklarida maxsus ishlab chiqilgan TCP paketlarini qayta ishlashda uzoqdan hujumlar xizmat ko’rsatishni rad etish yoki ortiqcha resurs sarflanishiga olib kelishi mumkin bo’lgan bir qator zaifliklar aniqlangan. Muammolar TCP Maksimal Segment Hajmi (MSS) ishlov beruvchisi va TCP Tanlangan Tasdiqlash (SACK) mexanizmidagi xatolar tufayli yuzaga keladi. Ushbu zaifliklar serverlar, Android qurilmalari va o’rnatilgan qurilmalar kabi ko’plab qurilmalarga tahdid solishi mumkin.
CVE-2019-11477 (SACK Panic) – 2.6.29 versiyasidan beri Linux yadrolariga ta’sir qiladi va bir qator SACK paketlarini yuborish orqali yadro ishdan chiqishiga imkon beradi, bu ishlov beruvchida butun sonlarni to’ldirishga olib keladi. Ekspluatatsiyaning oldini olish uchun foydalanuvchilarga SACK jarayonini o’chirib qo’yish tavsiya etiladi (/proc/sys/net/ipv4/tcp_sack ga 0 yozish) yoki past MSS bilan ulanishlarni bloklash (bu o’lchov faqat sysctl net.ipv4.tcp_mtu_probing ni 0 ga o’rnatganda samarali bo’ladi va ba’zi past MSS bilan oddiy ulanishlarni buzishi mumkin).
CVE-2019-11478 (SACK Slowness) 4.15 dan oldingi Linux yadrolariga ta’sir qiladi va SACK mexanizmining ishdan chiqishiga yoki ortiqcha resurslarni sarflashiga olib keladi. Undan maxsus tayyorlangan SACK paketlarini yuborish orqali foydalanish mumkin.
CVE-2019-5599 (SACK Slowness) – RACK paket yo‘qolishini aniqlash mexanizmi bilan FreeBSD 12 ga ta’sir qiladi. Bu muammo bitta TCP ulanishi doirasida maxsus tayyorlangan SACK ketma-ketligini qayta ishlashda yuborilgan paketlar xaritasining parchalanishiga olib kelishi mumkin. Ekspluatatsiyani oldini olish uchun RACK modulini o’chirib qo’yish tavsiya etiladi.
CVE-2019-11479 Linux yadrosining barcha versiyalariga ta’sir qiladi. Buzg’unchi Linux yadrosini javoblarni har birida atigi 8 bayt ma’lumotni o’z ichiga olgan bir nechta TCP segmentlariga bo’lishiga olib kelishi mumkin. Bu trafik va resurs iste’molining sezilarli darajada oshishiga olib keladi.
Zaifliklar Linux yadrosining 4.4.182, 4.9.182, 4.14.127, 4.19.52 va 5.1.11 versiyalarida tuzatilgan. FreeBSD uchun yamoq ham mavjud. Debian, RHEL, SUSE/openSUSE, ALT, Ubuntu, Fedora va Arch Linux uchun yadro paketi yangilanishlari chiqarildi.
