Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)


Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)

18. Juni 2019

Beschreibung

Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP Selective
Acknowledgement (SACK) und der TCP Minimum Segment Size (MSS) im Linux Kernel
gefunden.

Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit niedriger
MSS kann es zu einem Integer-Overflow kommen, der eine Kernel-Panic auslöst.
Es handelt sich also um einen Denial-of-Service Angriff, der über ein Netzwerk
wie z.B. das Internet ausgeführt werden kann.

Auswirkungen

Das betroffene System reagiert nicht mehr und muss neugestartet werden.

Betroffene Systeme

Alle Linux Kernel seit Version 2.6.29, die vor etwas mehr als 10 Jahren
veröffentlicht wurde.

Abhilfe

Patches für den Kernel sind bereits verfügbar (die URLs zu den Patches
finden Sie im unten verlinkten Advisory), einige Linux-Distributionen
haben auch schon Updates bereitgestellt.

Für die Zeit bis zum Neustart kann auch eine der folgenden Sofortmaßnahmen
eingesetzt werden:

  • Verbindungen mit einer sehr niedrigen MSS auf der Firewall blockieren.
    Beispielhafte Filterregeln finden sich im unten verlinkten Advisory.
  • Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart. Führen
    Sie dazu den Befehl

    sysctl -w net.ipv4.tcp_sack=0

    als root aus. Sollte es bei Ihrem System nicht möglich
    sein, den Kernel upzudaten, können sie diesen Workaround dauerhaft
    implementieren, indem Sie den folgenden Befehl als root
    ausführen:

    echo "net.ipv4.tcp_sack = 0" >>
    /etc/sysctl.config

Hinweis

Generell empfiehlt CERT.at, wo möglich die „automatisches
Update“-Features von Software zu nutzen, parallel Firewall-Software aktiv und
den Virenschutz aktuell zu halten.


Informationsquelle(n):

Netflix Advisory (englisch)
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.