青青草99,日本伊人色综合网,青青艹视频在线

CVE-2019-11477：Linux 內核中TCP SACK機制遠程Dos預警分析

責編：gltian ｜2019-06-19 13:54:17

0x00 漏洞描述

2019年6月18日，RedHat官網發布報告：安全研究人員在Linux內核處理TCP SACK數據包模塊中發現了三個漏洞，CVE編號為CVE-2019-11477、CVE-2019-11478和CVE-2019-11479，其中CVE-2019-11477漏洞能夠降低系統運行效率，并可能被遠程攻擊者用于拒絕服務攻擊，影響程度嚴重。

360CERT 判斷此次漏洞影響面廣，危害嚴重，建議廣大用戶及時更新。

漏洞細節

SACK(Selective ACK)是TCP選項，它使得接收方能告訴發送方哪些報文段丟失，哪些報文段重傳了，哪些報文段已經提前收到等信息。根據這些信息TCP就可以只重傳哪些真正丟失的報文段。需要注意的是只有收到失序的分組時才會可能會發送SACK，TCP的ACK還是建立在累積確認的基礎上的。

Linux SKB 最多可以容納17個片段：

linux/include/linux/skbuff.h
define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1)  => 17

每個片段在x86（PowerPC上為64KB）的數據中最多可容納32KB，當數據包將被發送時，它被放置在發送隊列中，它的詳細信息保存在控制緩沖區結構中：

   linux/include/linux/skbuff.h
struct tcp_skb_cb {
    __u32       seq;                    /* Starting sequence number */
    __u32       end_seq;    /* SEQ + FIN + SYN + datalen */
    __u32       tcp_tw_isn;
        struct {
                u16 tcp_gso_segs;
                u16 tcp_gso_size; 
        };
    __u8        tcp_flags;  /2* TCP header flags. (tcp[13])  */
    …
}

tcp_gso_segs用于記錄數據包個數，類型為u16，最多記錄65526個。但是SACK機制允許TCP在重傳中合并多個SKB隊列，從而填充17個片段到最大容量， 17?321024 /8 = 69632，造成tcp_gso_segs整數溢出，進而觸發BUG_ON（）調用，導致內核崩潰。

static bool tcp_shifted_skb (struct sock *sk, …, unsigned int pcount, ...)
{
...
tcp_skb_pcount_add(prev, pcount);
BUG_ON(tcp_skb_pcount(skb) < pcount);   <= SACK panic
tcp_skb_pcount_add(skb, -pcount);
…
}

攻擊者可以通過發送一系列特定的SACK包，觸發內核模塊的整數溢出漏洞，進而實行遠程拒絕服務攻擊。

0x01 影響版本

影響Linux 內核2.6.29及以上版本

0x02 修復方案

（1）及時更新補丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

Linux內核版本>=4.14需要打第二個補丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

（2）禁用SACK處理

echo 0 > /proc/sys/net/ipv4/tcp_sack

（3）使用過濾器來阻止攻擊

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md