В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании

07.08.2018 00:17

В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за исчерпания доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).

Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Из-за неэффективности применяемого алгортима необходимые для обработки сегментов ресурсы CPU линейно возрастают в зависимости от числа сегментов в очереди пересборки пакетов. При выполнении операции пересборки большого числа сегментов cоздаваемой нагрузки достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например, для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно потока интенсивностью всего 2 тысячи пакетов в секунду.


   141 root      20   0       0      0      0 R  97.3  0.0   1:16.33 ksoftirqd/26
   151 root      20   0       0      0      0 R  97.3  0.0   1:16.68 ksoftirqd/28
   136 root      20   0       0      0      0 R  97.0  0.0   0:39.09 ksoftirqd/25
   161 root      20   0       0      0      0 R  97.0  0.0   1:16.48 ksoftirqd/30

Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена в обновлении ядра 4.17.12. Обновления пакетов подготовлены для Debian, SUSE и Fedora, и ожидаются для Ubuntu и RHEL.

Дополнение: Проблема также проявляется во FreeBSD и вероятно в других операционных системах. Во FreeBSD проблема пока временно решена через ограничение размера очереди пересборки пакетов (net.inet.tcp.reass.maxqueuelen).

исправить +32 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49094-linux

Ключевые слова: linux, kernel

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (51)

1.1, Onanon (?), 00:40, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Не только лишь линукс.. https://lists.freebsd.org/pipermail/freebsd-announce/2018-August/001837.html

2.4, xm (ok), 01:30, 07/08/2018 [^] [^^] [^^^] [ответить]	–11 +/–
Ну так а откуда в Linux взялся TCP стек?

3.12, Аноним (12), 06:08, 07/08/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Ross Biro запилил сеть в linux

4.17, пох (?), 07:01, 07/08/2018 [^] [^^] [^^^] [ответить]

–3 +/–

и в ней этой уязвимости не было, как и в net3, который пилил ank (и в котором от прежнего кода не осталось ничего)
The Linux kernel, versions 4.9+, is vulnerable.

Я со своим 3.0.101 сплю спокойно дальше.

5.25, Аноним (25), 10:13, 07/08/2018 [^] [^^] [^^^] [ответить]	+7 +/–
>Я со своим 3.0.101 сплю спокойно дальше. И пусть Dirty COW не тревожит твой сон.

3.36, Fyjybv755 (?), 11:40, 07/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Ну так а откуда в Linux взялся TCP стек? > Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 Проповедуете, что в 4.9 выкинули свой и воткнули бздевый? Офигенный у вас манямирок, да.

4.42, xm (ok), 12:23, 07/08/2018 [^] [^^] [^^^] [ответить]	–6 +/–
Нет. Только то, что он там был изначально. А это артефакты.

2.7, Ivan_83 (ok), 01:37, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
Странно, для реассемблинга IP уже были лимиты, а тут забыли.

2.18, Аноним (18), 07:13, 07/08/2018 [^] [^^] [^^^] [ответить]	–5 +/–
Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.

3.22, нах (?), 09:30, 07/08/2018 [^] [^^] [^^^] [ответить]

+2 +/–

наоборот, это как раз фикс - раз и навсегда устанавливающий лимиты, причем ты можешь их двигать, если работаешь в необычных условиях.

А у лaпчaтыx - затычка, "мы тут попытались угадать, сколько процентов cpu можно выкинуть в помойку, остановились на цифре 12.5%, УМВР, это магия, пользователю ее видеть и иметь возможность контроля ненужно", как это траблшутить - пингвин его знает.

4.26, Аноним (25), 10:19, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
Ну у рогатых же третий глаз закрыт.

5.28, нах (?), 10:37, 07/08/2018 [^] [^^] [^^^] [ответить]

–1 +/–

> Ну у рогатых же третий глаз закрыт.

Фигасе, закрыт:
https://www.giantbomb.com/trickster/3005-3201/images/

А вот где вы видели третий глаз у пингвина?

4.53, Вареник (?), 16:06, 07/08/2018 [^] [^^] [^^^] [ответить]	–2 +/–
Оптимизации всегдла делаются на неких предположениях, работающих в большинстве случаев. Отключив все кэши (от L1 до дискового), спекулятивные оптимизации проца, асинхронную запись в потоки - можно наслаждаться чистой, ненарушенной логичностью. На локалхосте, потому что больше никто не даст гробить первфоманс.

3.44, Аноним (44), 12:40, 07/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Дай угадаю CODE II Problem Description One of the data structures that hold... большой текст свёрнут, показать

4.47, Аноним (18), 13:26, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
> потому что там "temporary" и предложение самому выставить нужные параметры, а у > пингвина "temporary" нет и все делается "автоматически" >> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks. А самому фикс посмотреть в обоих случаях? Я смотрел.

5.55, Аноним (44), 17:46, 07/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
>> потому что там "temporary" и предложение самому выставить нужные параметры, а у >> пингвина "temporary" нет и все делается "автоматически" >>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks. > А самому фикс посмотреть в обоих случаях? Я смотрел. А зачем? Я ж вон, цитату из пальца высосал и сразу угадал!

1.10, Аноним (10), 04:21, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
На убунту исправление прилетело еще до того, как я прочитал эту новость.. :)

2.27, A (?), 10:26, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
linux-image-generic/bionic-updates,bionic-security 4.15.0.30.32 amd64 [upgradable from: 4.15.0.29.31] чето нет :(

2.39, Нанобот (ok), 12:13, 07/08/2018 [^] [^^] [^^^] [ответить]	–2 +/–
а в centos/rhel проблемы не было с самого начала

3.43, rhel (?), 12:26, 07/08/2018 [^] [^^] [^^^] [ответить]	+4 +/–
нет апгрейда, нет проблемы

1.14, 11000000010101 (?), 06:36, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Привет необновляемым роутерам и мобильникам! Ещё один пример того, что от устройств с процессорами MTK больше вреда для экологии чем от тех, которые можно перешивать. Запретили бы их ввоз до открытия исходников. Вместо этого наказан Google.

2.15, Аноним (15), 06:54, 07/08/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Google до сих пор не в состоянии выложить проприетарные прошивки с исправлениями для чипов Broadcom (broadspwn) и Qualcomm (сотовый стек), это не говоря о том, что было бы неплохо со стороны корпорации добра выпустить полноценные обновления ОС с критическими заплатками. Но не сделано ничего. Поэтому все альтернативные прошивки к смартфонам которые более не поддерживает Гугл идут с дырявыми прошивками и альтернативные разработчики ничего не могут с этим поделать... Хотя Apple исправила тот же. Broadpwn во всех своих смартах...

3.32, деанон (?), 11:13, 07/08/2018 [^] [^^] [^^^] [ответить]	+3 +/–
А причем тут гугл? Какое он имеет отношение к производителям которые не поддерживают свои же поделки?

4.46, Xasd (ok), 12:59, 07/08/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> А причем тут гугл?
> Какое он имеет отношение к производителям которые не поддерживают свои же поделки?

Google условия *ставит* -- производители эти условия *исполняют*.

разве не очевидно? это прям сенсация века?

а кто кроме Google может ещё ставить условия производителям?

пример: """мы сотрудничаем при условии что железо должно работать с Ванильным Ядром.. добивайтесь включения драйверов в Апстрим Ядра, а загрузчика в Апстрим Uboot (ну или какой-там-у-гугла?)""" -- разве так сложно?

3.37, КО (?), 11:55, 07/08/2018 [^] [^^] [^^^] [ответить]	–3 +/–
>Google до сих пор не в состоянии выложить проприетарные прошивки Остальное лишнее. Такова плата за "свободу" Ведроида. Производители железа могут делать что хотят. Остальные - что получится.

3.59, Led (ok), 01:11, 08/08/2018 [^] [^^] [^^^] [ответить]	+3 +/–
> Apple исправила тот же. Broadpwn во всех своих смартах... Вот именно, своих. Не забывай об этом, счастливй пользователь несвоего ифона.

4.64, Аноним (15), 14:07, 08/08/2018 [^] [^^] [^^^] [ответить]	–3 +/–
Ну а с ведром получается стакан наполовину полон или пуст? И какая разница если свободная карета превратилась в тыкву из-за закрытого стороннего кода?!

5.68, Led (ok), 23:55, 08/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Ну а с ведром получается стакан наполовину полон или пуст? Ты не про стакан, ты про свой пукан беспокойся.

6.70, Аноним (15), 15:07, 09/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
С Nexus 5? Ну да, беспокоюсь. Пришлось дрова wifi с корнем вырвать и надеяться, что мало кто через сотовую сеть взламывать станет... :)

2.20, iPony (?), 07:38, 07/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов) > Привет необновляемым роутерам и мобильникам Ну 4.9 до них и не долетало ещё. А так тупой DDoS массам не грозит - ибо никому не нужны.

3.38, Вы забыли заполнить поле Name (?), 12:05, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
На прошлой неделе вышел Openwrt с 4.9.111

2.41, Аноним (41), 12:15, 07/08/2018 [^] [^^] [^^^] [ответить]	–2 +/–
У тебя на мобильнике реальный IPшник и открытые порты? У тебя на роутере открытые наружу порты?

3.49, 1 (??), 14:23, 07/08/2018 [^] [^^] [^^^] [ответить]	+/–
эээ - а как же торренты без открытых портов ? Не говоря уже об ssh унутрь

3.52, lurkr (ok), 15:52, 07/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
попробуйте nmap, будете удивлены сколько их открыто :)

1.21, Аноним (21), 08:48, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Былиный отказ

1.23, Тот ещё Аноним (?), 09:33, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Я нашёл ещё одну уязвимость.. Если в стакан непрерывно наливать кипятка и переполнить его, то можно обжечься! Гады, куда смотрят создатели стаканов и кипятка!

2.29, нах (?), 10:40, 07/08/2018 [^] [^^] [^^^] [ответить]	+5 +/–
2000p/s это, к сожалению, в нынешних условиях не "непрерывно наливать", а ты спокойно пил чай, а мимопроходящий бомж тебе туда прицельно харкнул. Херак, ты весь в кипятке!

3.30, А (??), 10:56, 07/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Причем тут бомж?

4.45, Аноним (45), 12:48, 07/08/2018 [^] [^^] [^^^] [ответить]	+2 +/–
При том, что кипятка в стакан в твоих руках в данном случае может налить может любой проходящий.

4.48, Alen (??), 13:47, 07/08/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Хорошо, что по остальным пунктам претензий нет :)

1.31, Аноним (41), 11:08, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Для Ubuntu обновление доступно через canonical-livepatch.

1.50, Держу в курсе (?), 15:00, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>начиная с выпуска 4.9 видимо не зря я продолжаю сидеть на 4.4

1.56, Аноним (56), 18:26, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Ребята, а ветка 2.4 уже достаточно стабильна, можно переходить?

2.63, Аноним (63), 13:22, 08/08/2018 [^] [^^] [^^^] [ответить]	+/–
Можно, я разрешаю.

1.60, пингвинос (?), 11:02, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ой ой, какой ужас. Куда бежать то? А бежать некуда, все заражено и зондировано телеметрией. Похоже придется увольняться (работаю пом.админа)и идти по специальности - каменщиком. Или есть еще трудно/вообще-не взламываемая ОС?

2.61, Andrey Mitrofanov (?), 11:51, 08/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
>Или есть еще трудно/вообще-не взламываемая ОС? Или есть. Но у Вас нет допуска.

3.66, blblbl (?), 17:26, 08/08/2018 [^] [^^] [^^^] [ответить]	+/–
Для вытаскивания сетевого кабеля из сетевухи уже нужен какой то допуск? Типа как для высоковольтки, но для слаботочки? Круть! Где получить?

4.67, Минона (ok), 18:08, 08/08/2018 [^] [^^] [^^^] [ответить]	+/–
Каким образом вытаскивание кабеля взламывает ОС? А допуск нужен - в серверную. Ты не знал?

1.69, Адекват (ok), 09:20, 09/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А эксплоит есть ?

2.71, pavlinux (ok), 16:25, 10/08/2018 [^] [^^] [^^^] [ответить]

+/–

Те место в ядре указали, написали что делать... только бери редактор и пиши.

"malicious peers could inject tiny packets in out_of_order_queue,
forcing very expensive calls to tcp_collapse_ofo_queue() and
tcp_prune_ofo_queue() for every incoming packet."

2.72, odd.mean (ok), 01:53, 11/08/2018 [^] [^^] [^^^] [ответить]	+/–
Давно уже. ncat называется. И ман к нему обычно в комплекте идёт.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: