Un certain nombre de serveurs et les systèmes Linux et FreeBSD sont vulnérables à un déni de service baptisé SACK Panic, ainsi que d'autres formes d'attaques.
Quatre vulnérabilités de sécurité affectant une gamme de serveurs Linux et FreeBSD ont été mis au jour par un chercheur sécurité de l'information Netflix, Jonathan Looney. L'une des vulnérabilités, Panique surnommé SACK est plus dangereux que les autres, car elle pourrait conduire à la panique du noyau à distance déclenché.
Selon le document officiel, les vulnérabilités se rapportent à la taille de segment minimum (MSS) et TCP Acquittement Sélectif (SAC) capacités. Le plus grave est appelé SACK Panic, et pourrait permettre à une panique du noyau déclenché à distance sur les noyaux Linux récents.
Voici une liste des vulnérabilités:
CVE-2019-11477, également connu sous le nom SACK Panic
La vulnérabilité affecte Linux 2.6.29 et plus haut.
Selon la description officielle, une séquence de sacs peut être conçu pour déclencher un débordement d'entier, conduisant à une panique du noyau. Une vulnérabilité de panique du noyau signifie que le système d'exploitation est incapable de récupérer rapidement ou, dans certains cas, du tout. Cela pourrait forcer un redémarrage de la machine ciblée, conduisant à un arrêt temporaire dans les services.
CVE-2019-11478, également connu sous le nom SACK Lenteur
La vulnérabilité affecte toutes les versions Linux. Elle peut être déclenchée si un attaquant envoie une séquence Recouverte de SACKs qui fragmenter la file d'attente de retransmission TCP. Sur les noyaux Linux avant 4.15, l'attaquant pourrait être en mesure d'exploiter davantage la file d'attente fragmentée pour faire une promenade coûteuse liste chaînée pour SACKs ultérieures reçues pour cette même connexion TCP, les chercheurs expliquent.
CVE-2019-5599, également connu sous le nom SACK Lenteur
La vulnérabilité affecte FreeBSD 12 Utilisation de la grille TCP Stack.
Un attaquant peut envoyer une séquence conçue de SACKs qui fragmenter la carte RACK d'envoi. L'attaquant pourrait exploiter davantage la carte d'envoi fragmenté pour provoquer une promenade coûteuse liste chaînée pour SACKs ultérieures reçues pour cette même connexion TCP.
CVE-2019-11479, aussi connu comme la consommation de ressources excessive due à des valeurs faibles du SMS
La vulnérabilité affecte toutes les versions Linux.
Selon la description officielle de la vulnérabilité, un attaquant peut forcer le noyau Linux pour segmenter ses réponses en plusieurs segments TCP, dont chacun contient seulement 8 octets de données. Cela conduit à l'augmentation de la bande passante requise pour fournir la même quantité de données.
En outre, ressources supplémentaires (CPU et de la puissance de traitement NIC) sont également consommés. Il est à noter que cette attaque nécessite poursuive ses efforts l'attaquant, avec son impact se termine peu de temps après que l'attaquant cesse d'envoyer du trafic.
Les bonnes nouvelles sont que des correctifs et des solutions de contournement sont disponibles pour chaque vulnérabilité.