Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades de denegación de servicio basadas en TCP en los Kernel de Linux y FreeBSD

Fecha de publicación 18/06/2019
Importancia
4 - Alta
Recursos Afectados
  • Versiones del Kernel de Linux:
    • SACK Panic: afecta a versiones posteriores o iguales a la versión 2.6.29;
    • SACK Slowness: anteriores a la versión 4.15;
    • Consumo excesivo de recursos: todas las versiones.
  • Versiones de FreeBSD 12 que utilicen la pila RACK TCP (SACK Slowness).
Descripción

Investigadores de Netflix han descubierto cuatro vulnerabilidades, una de criticidad alta y tres de criticidad media. Estas vulnerabilidades son debidas a las capacidades del tamaño máximo o mínimo de segmento (MSS) en los paquetes TCP, y el reconocimiento selectivo de TCP (TCP SACK). Un atacante remoto podría explotar estas vulnerabilidades para generar una condición de denegación de servicio.

Solución
  • Para sistemas operativos Linux se han publicado actualizaciones en las principales distribuciones que solucionan las vulnerabilidades:
    • Debian: instalar los paquetes de actualización de seguridad DSA-4465-1;
    • Ubuntu: instalar los paquetes de las actualizaciones de seguridad USN-4017-1 y USN-4017-2;
    • RedHat: instalar los paquetes de actualización disponibles en los diferentes avisos publicados;
    • Para el sistema operativo SUSE todavía no se han publicado parches, pero se ha informado que se proveerán los correspondientes a las distribuciones soportadas;
  • Para AWS, ha informado de las siguientes actualizaciones.
  • Para sistemas operativos FreeBSD 12 no hay parche oficial, los investigadores de Netflix proponen las siguientes soluciones provisionales:
    • Aplicar el parche split_limit.patch y fijar el sysctl de net.inet.tcp.rack.split_limit a un valor razonable para limitar el tamaño de la tabla SACK;
    • Deshabilitar temporalmente la pila TCP RACK.
Detalle

La vulnerabilidad de criticidad alta es debida a una secuencia de SACKs modificados que podrían desencadenar un desbordamiento de enteros, pudiendo generar un kernel panic. Se ha reservado el identificador CVE-2019-11477 para esta vulnerabilidad.

Al resto de vulnerabilidades de criticidad media se les han reservado los identificadores CVE-2019-11478, CVE-2019-5599 y CVE-2019-11479.

Encuesta valoración

Listado de referencias
Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities
TCP SACK PANIC - Kernel vulnerabilities - CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479
Linux Kernel TCP SACK Denial of Service Issues
Debian Security Advisory
SACK Panic and Other TCP Denial of Service Issues
Comments Share TCP SACK PANIC - Kernel vulnerabilities - CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479
Security Vulnerability: TCP SACK Denial of Service attacks aka "SACK Panic" - CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479
[Actualización 02/12/2019]: TCP SACK panic attack- Linux Kernel Vulnerabilities- CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479
Etiquetas