The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании

07.08.2018 00:17

В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за исчерпания доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).

Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Из-за неэффективности применяемого алгортима необходимые для обработки сегментов ресурсы CPU линейно возрастают в зависимости от числа сегментов в очереди пересборки пакетов. При выполнении операции пересборки большого числа сегментов cоздаваемой нагрузки достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например, для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно потока интенсивностью всего 2 тысячи пакетов в секунду.


   141 root      20   0       0      0      0 R  97.3  0.0   1:16.33 ksoftirqd/26
   151 root      20   0       0      0      0 R  97.3  0.0   1:16.68 ksoftirqd/28
   136 root      20   0       0      0      0 R  97.0  0.0   0:39.09 ksoftirqd/25
   161 root      20   0       0      0      0 R  97.0  0.0   1:16.48 ksoftirqd/30

Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена в обновлении ядра 4.17.12. Обновления пакетов подготовлены для Debian, SUSE и Fedora, и ожидаются для Ubuntu и RHEL.

Дополнение: Проблема также проявляется во FreeBSD и вероятно в других операционных системах. Во FreeBSD проблема пока временно решена через ограничение размера очереди пересборки пакетов (net.inet.tcp.reass.maxqueuelen).

  1. Главная ссылка к новости (https://blogs.akamai.com/2018/...)
  2. OpenNews: Уязвимость в драйвере DisplayLink, позволяющая выполнить код в контексте ядра Linux
  3. OpenNews: Уязвимость в генераторе случайных чисел ядра Linux
  4. OpenNews: Уязвимость в реализации протокола DCCP в ядре Linux
  5. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  6. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49094-linux
Ключевые слова: linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Onanon (?), 00:40, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Не только лишь линукс..
    https://lists.freebsd.org/pipermail/freebsd-announce/2018-August/001837.html
     
     
  • 2.4, xm (ok), 01:30, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Ну так а откуда в Linux взялся TCP стек?
     
     
  • 3.12, Аноним (12), 06:08, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ross Biro запилил сеть в linux
     
     
  • 4.17, пох (?), 07:01, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    и в ней этой уязвимости не было, как и в net3, который пилил ank (и в котором от прежнего кода не осталось ничего)
    The Linux kernel, versions 4.9+, is vulnerable.

    Я со своим 3.0.101 сплю спокойно дальше.

     
     
  • 5.25, Аноним (25), 10:13, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >Я со своим 3.0.101 сплю спокойно дальше.

    И пусть Dirty COW не тревожит твой сон.

     
  • 3.36, Fyjybv755 (?), 11:40, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну так а откуда в Linux взялся TCP стек?
    > Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9

    Проповедуете, что в 4.9 выкинули свой и воткнули бздевый?
    Офигенный у вас манямирок, да.

     
     
  • 4.42, xm (ok), 12:23, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Нет. Только то, что он там был изначально. А это артефакты.
     
  • 2.7, Ivan_83 (ok), 01:37, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Странно, для реассемблинга IP уже были лимиты, а тут забыли.
     
  • 2.18, Аноним (18), 07:13, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.
     
     
  • 3.22, нах (?), 09:30, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    наоборот, это как раз фикс - раз и навсегда устанавливающий лимиты, причем ты можешь их двигать, если работаешь в необычных условиях.

    А у лaпчaтыx - затычка, "мы тут попытались угадать, сколько процентов cpu можно выкинуть в помойку, остановились на цифре 12.5%, УМВР, это магия, пользователю ее видеть и иметь возможность контроля ненужно", как это траблшутить - пингвин его знает.

     
     
  • 4.26, Аноним (25), 10:19, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у рогатых же третий глаз закрыт.
     
     
  • 5.28, нах (?), 10:37, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну у рогатых же третий глаз закрыт.

    Фигасе, закрыт:
    https://www.giantbomb.com/trickster/3005-3201/images/

    А вот где вы видели третий глаз у пингвина?

     
  • 4.53, Вареник (?), 16:06, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Оптимизации всегдла делаются на неких предположениях, работающих в большинстве случаев.

    Отключив все кэши (от L1 до дискового), спекулятивные оптимизации проца, асинхронную запись в потоки - можно наслаждаться чистой, ненарушенной логичностью. На локалхосте, потому что больше никто не даст гробить первфоманс.

     
  • 3.44, Аноним (44), 12:40, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дай угадаю CODE II Problem Description One of the data structures that hold... большой текст свёрнут, показать
     
     
  • 4.47, Аноним (18), 13:26, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что там "temporary" и предложение самому выставить нужные параметры, а у
    > пингвина "temporary" нет и все делается "автоматически"
    >> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.

    А самому фикс посмотреть в обоих случаях? Я смотрел.

     
     
  • 5.55, Аноним (44), 17:46, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> потому что там "temporary" и предложение самому выставить нужные параметры, а у
    >> пингвина "temporary" нет и все делается "автоматически"
    >>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.
    > А самому фикс посмотреть в обоих случаях? Я смотрел.

    А зачем? Я ж вон, цитату из пальца высосал и сразу угадал!

     

  • 1.10, Аноним (10), 04:21, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    На убунту исправление прилетело еще до того, как я прочитал эту новость.. :)
     
     
  • 2.27, A (?), 10:26, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    linux-image-generic/bionic-updates,bionic-security 4.15.0.30.32 amd64 [upgradable from: 4.15.0.29.31]

    чето нет :(

     
  • 2.39, Нанобот (ok), 12:13, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а в centos/rhel проблемы не было с самого начала
     
     
  • 3.43, rhel (?), 12:26, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    нет апгрейда, нет проблемы
     

  • 1.14, 11000000010101 (?), 06:36, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Привет необновляемым роутерам и мобильникам! Ещё один пример того, что  от устройств с процессорами MTK больше вреда для экологии чем от тех, которые можно перешивать. Запретили бы их ввоз до открытия исходников. Вместо этого наказан Google.
     
     
  • 2.15, Аноним (15), 06:54, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Google до сих пор не в состоянии выложить проприетарные прошивки с исправлениями для чипов Broadcom (broadspwn) и Qualcomm  (сотовый стек), это не говоря о том, что было бы неплохо со стороны корпорации добра выпустить полноценные обновления ОС с критическими заплатками. Но не сделано ничего. Поэтому все альтернативные прошивки к смартфонам которые более не поддерживает Гугл идут с дырявыми прошивками и альтернативные разработчики ничего не могут с этим поделать...
    Хотя Apple исправила тот же. Broadpwn во всех своих смартах...
     
     
  • 3.32, деанон (?), 11:13, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А причем тут гугл?
    Какое он имеет отношение к производителям которые не поддерживают свои же поделки?
     
     
  • 4.46, Xasd (ok), 12:59, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А причем тут гугл?
    > Какое он имеет отношение к производителям которые не поддерживают свои же поделки?

    Google условия *ставит* -- производители эти условия *исполняют*.

    разве не очевидно? это прям сенсация века?

    а кто кроме Google может ещё ставить условия производителям?

    пример: """мы сотрудничаем при условии что железо должно работать с Ванильным Ядром.. добивайтесь включения драйверов в Апстрим Ядра, а загрузчика в Апстрим Uboot (ну или какой-там-у-гугла?)""" -- разве так сложно?

     
  • 3.37, КО (?), 11:55, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Google до сих пор не в состоянии выложить проприетарные прошивки

    Остальное лишнее. Такова плата за "свободу" Ведроида. Производители железа могут делать что хотят. Остальные - что получится.

     
  • 3.59, Led (ok), 01:11, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Apple исправила тот же. Broadpwn во всех своих смартах...

    Вот именно, своих. Не забывай об этом, счастливй пользователь несвоего ифона.

     
     
  • 4.64, Аноним (15), 14:07, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну а с ведром получается стакан наполовину полон или пуст? И какая разница если свободная карета превратилась в тыкву из-за закрытого стороннего кода?!
     
     
  • 5.68, Led (ok), 23:55, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну а с ведром получается стакан наполовину полон или пуст?

    Ты не про стакан, ты про свой пукан беспокойся.

     
     
  • 6.70, Аноним (15), 15:07, 09/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С Nexus 5? Ну да, беспокоюсь. Пришлось дрова wifi с корнем вырвать и надеяться, что мало кто через сотовую сеть взламывать станет... :)
     
  • 2.20, iPony (?), 07:38, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов)
    > Привет необновляемым роутерам и мобильникам

    Ну 4.9 до них и не долетало ещё. А так тупой DDoS массам не грозит - ибо никому не нужны.

     
     
  • 3.38, Вы забыли заполнить поле Name (?), 12:05, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На прошлой неделе вышел Openwrt с  4.9.111
     
  • 2.41, Аноним (41), 12:15, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У тебя на мобильнике реальный IPшник и открытые порты? У тебя на роутере открытые наружу порты?
     
     
  • 3.49, 1 (??), 14:23, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    эээ - а как же торренты без открытых портов ? Не говоря уже об ssh унутрь
     
  • 3.52, lurkr (ok), 15:52, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    попробуйте nmap, будете удивлены сколько их открыто :)
     

  • 1.21, Аноним (21), 08:48, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Былиный отказ
     
  • 1.23, Тот ещё Аноним (?), 09:33, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Я нашёл ещё одну уязвимость.. Если в стакан непрерывно наливать кипятка и переполнить его, то можно обжечься! Гады, куда смотрят создатели стаканов и кипятка!
     
     
  • 2.29, нах (?), 10:40, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    2000p/s это, к сожалению, в нынешних условиях не "непрерывно наливать", а ты спокойно пил чай, а мимопроходящий бомж тебе туда прицельно харкнул. Херак, ты весь в кипятке!

     
     
  • 3.30, А (??), 10:56, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем тут бомж?
     
     
  • 4.45, Аноним (45), 12:48, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    При том, что кипятка в стакан в твоих руках в данном случае может налить может любой проходящий.
     
  • 4.48, Alen (??), 13:47, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Хорошо, что по остальным пунктам претензий нет :)
     

  • 1.31, Аноним (41), 11:08, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для Ubuntu обновление доступно через canonical-livepatch.
     
  • 1.50, Держу в курсе (?), 15:00, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >начиная с выпуска 4.9

    видимо не зря я продолжаю сидеть на 4.4

     
  • 1.56, Аноним (56), 18:26, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ребята, а ветка 2.4 уже достаточно стабильна, можно переходить?
     
     
  • 2.63, Аноним (63), 13:22, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, я разрешаю.
     

  • 1.60, пингвинос (?), 11:02, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ой ой, какой ужас. Куда бежать то? А бежать некуда, все заражено и зондировано телеметрией. Похоже придется увольняться (работаю пом.админа)и идти по специальности - каменщиком. Или есть еще трудно/вообще-не взламываемая ОС?
     
     
  • 2.61, Andrey Mitrofanov (?), 11:51, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Или есть еще трудно/вообще-не взламываемая ОС?

    Или есть.  Но у Вас нет допуска.

     
     
  • 3.66, blblbl (?), 17:26, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для вытаскивания сетевого кабеля из сетевухи уже нужен какой то допуск? Типа как для высоковольтки, но для слаботочки? Круть! Где получить?
     
     
  • 4.67, Минона (ok), 18:08, 08/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом вытаскивание кабеля взламывает ОС?

    А допуск нужен - в серверную. Ты не знал?

     

  • 1.69, Адекват (ok), 09:20, 09/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А эксплоит есть ?
     
     
  • 2.71, pavlinux (ok), 16:25, 10/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Те место в ядре указали, написали что делать... только бери редактор и пиши.

    "malicious peers could inject tiny packets in out_of_order_queue,
    forcing very expensive calls to tcp_collapse_ofo_queue() and
    tcp_prune_ofo_queue() for every incoming packet."


     
  • 2.72, odd.mean (ok), 01:53, 11/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Давно уже. ncat называется. И ман к нему обычно в комплекте идёт.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру