Una vulnerabilidad ha sido identificada en el Kernel de Linux (versión 4.9+) el cual se hace un seguimiento en el aviso CVE-2018-5390. En él se enumeran una serie de condiciones que permiten a los delincuentes para modificar los paquetes que llevan a la coordinación de DoS (Negación de servicio) ataques.
CVE-2018-5390 Asesor Tracks ataque DoS vulnerabilidad del núcleo Linux
Un mensaje de correo electrónico, Publicado por Juha-Matti Tilli informó otra cuestión relacionada con la seguridad en el kernel de Linux. El asesor CVE-2018-5390 es un boletín de seguridad de reciente publicación que da detalles sobre una vulnerabilidad del núcleo Linux. El documento muestra que las versiones 4.9+ puede verse afectada por las condiciones de servicio específicas que pueden conducir a una denegación de servicio (Negación de servicio) ataques. La naturaleza exacta del problema está relacionado con una modificación del comportamiento de los usuarios. El núcleo puede ser obligado a hacer llamadas a dos funciones para cada paquete entrante:
- tcp_collapse_ofo_queue() - Esta rutina se derrumba una cola fuera de orden siempre que la cuota de memoria para la cola de recepción está lleno para hacer espacio para el segmento de datos llegado. Esto se utiliza para control de tampón.
- tcp_prune_ofo_queue() - Esta es una función de ciruela para los paquetes de red. Se utiliza durante las operaciones de la cola.
Cada paquete entrante puede ser modificado en ir a través de estas dos funciones. Esto puede conducir a un patrón de comportamiento que conduce a una negación de la posibilidad de servicios. Los atacantes pueden inducir tales condiciones mediante el envío de paquetes modificados dentro de las sesiones de red TCP en curso. El análisis muestra que el mantenimiento de este estado requiere un continuo de sesiones TCP de dos vías a través de un puerto accesible abierto en la máquina objetivo. Esto significa que los ataques sólo pueden llevarse a cabo a través de direcciones IP reales, direcciones suplantadas no se pueden utilizar.
En el momento de escribir este artículo, los proveedores de dispositivos no han publicado ningún parche. Una vez que estén listos los boletines y actualizaciones apropiadas serán emitidos tanto a los usuarios finales y los propietarios de dispositivos. Una serie parche está disponible que implementa una solución al problema mediante la limitación de los ciclos de CPU a un cierto límite que al final hace que el error no crítico. En el futuro los desarrolladores podrían proceder con nuevas correcciones tales como desconectar o negro formación de poros probada flujos maliciosos.
Actualización! Parece ser que las actualizaciones necesarias se incluyeron en el kernel de Linux antes de que se hizo el anuncio de seguridad. Se encuentran en el 4.9.116 y 4.17.11 versiones del núcleo.
Mediante la aplicación de los últimos usuarios de actualización del núcleo Linux será capaz de protegerse de los ataques entrantes.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme:
Nuestro servidor que ejecuta la versión del núcleo “4.4.0-133-genérico” / Ubuntu 14.04.5 sistema operativo LTS.
4.4.0-133-genérico – es la última actualización del kernel disponible en los repositorios oficiales.
1) Sólo quería saber si esta vulnerabilidad sólo afecta a 4.9.x del kernel?
2) Cualquier acción requerida en el kernel 4.4.x?
3) Es este núcleo no se ve afectada con esta vulnerabilidad.
Hola Nixon,
Hasta el momento la información que hemos encontrado acerca de la cuestión es que libera a los impactos error sólo después de la liberación del núcleo Linux. Por lo que sabemos de la familia 4.4.x no se ve afectada. Sin embargo, sería la mejor manera de pedir al equipo de seguridad de Ubuntu para la confirmación.