Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)

18. Juni 2019

Beschreibung

Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP Selective Acknowledgement (SACK) und der TCP Minimum Segment Size (MSS) im Linux Kernel gefunden.

Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit niedriger MSS kann es zu einem Integer-Overflow kommen, der eine Kernel-Panic auslöst. Es handelt sich also um einen Denial-of-Service Angriff, der über ein Netzwerk wie z.B. das Internet ausgeführt werden kann.

Auswirkungen

Das betroffene System reagiert nicht mehr und muss neugestartet werden.

Betroffene Systeme

Alle Linux Kernel seit Version 2.6.29, die vor etwas mehr als 10 Jahren veröffentlicht wurde.

Abhilfe

Patches für den Kernel sind bereits verfügbar (die URLs zu den Patches finden Sie im unten verlinkten Advisory), einige Linux-Distributionen haben auch schon Updates bereitgestellt.

Für die Zeit bis zum Neustart kann auch eine der folgenden Sofortmaßnahmen eingesetzt werden:

  • Verbindungen mit einer sehr niedrigen MSS auf der Firewall blockieren. Beispielhafte Filterregeln finden sich im unten verlinkten Advisory.
  • Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart. Führen Sie dazu den Befehl

    sysctl -w net.ipv4.tcp_sack=0

    als root aus. Sollte es bei Ihrem System nicht möglich sein, den Kernel upzudaten, können sie diesen Workaround dauerhaft implementieren, indem Sie den folgenden Befehl als root ausführen:

    echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Netflix Advisory (englisch)
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md