Deutsch | English

Kritische Schwachstelle im Linux Kernel (CVE-2019-11477)

18. Juni 2019

Beschreibung

Netflix hat eine kritische Schwachstelle im Zusammenspiel von TCP Selective Acknowledgement (SACK) und der TCP Minimum Segment Size (MSS) im Linux Kernel gefunden.

Durch das Senden einer spezifischen Abfolge von TCP SACK Paketen mit niedriger MSS kann es zu einem Integer-Overflow kommen, der eine Kernel-Panic auslöst. Es handelt sich also um einen Denial-of-Service Angriff, der über ein Netzwerk wie z.B. das Internet ausgeführt werden kann.

Auswirkungen

Das betroffene System reagiert nicht mehr und muss neugestartet werden.

Betroffene Systeme

Alle Linux Kernel seit Version 2.6.29, die vor etwas mehr als 10 Jahren veröffentlicht wurde.

Abhilfe

Patches für den Kernel sind bereits verfügbar (die URLs zu den Patches finden Sie im unten verlinkten Advisory), einige Linux-Distributionen haben auch schon Updates bereitgestellt.

Für die Zeit bis zum Neustart kann auch eine der folgenden Sofortmaßnahmen eingesetzt werden:

  • Verbindungen mit einer sehr niedrigen MSS auf der Firewall blockieren. Beispielhafte Filterregeln finden sich im unten verlinkten Advisory.
  • Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart. Führen Sie dazu den Befehl

    sysctl -w net.ipv4.tcp_sack=0

    als root aus. Sollte es bei Ihrem System nicht möglich sein, den Kernel upzudaten, können sie diesen Workaround dauerhaft implementieren, indem Sie den folgenden Befehl als root ausführen:

    echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Netflix Advisory (englisch)
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/6/18 - 11:21:29
Haftungsausschluss / Datenschutzerklärung