The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от opennews (?), 07-Авг-18, 00:40 
В TCP-стеке ядра Linux выявлена (https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...) опасная уязвимость (https://www.kb.cert.org/vuls/id/962459) (CVE-2018-5390 (https://security-tracker.debian.org/tracker/CVE-2018-5390)), которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый  TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).


Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Затрачиваемых при выполнении данных вызовов ресурсов достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например,  для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно (https://access.redhat.com/articles/3553061) потока интенсивностью всего 2 тысячи пакетов в секунду.

   141 root      20   0       0      0      0 R  97.3  0.0   1:16.33 ksoftirqd/26
   151 root      20   0       0      0      0 R  97.3  0.0   1:16.68 ksoftirqd/28
   136 root      20   0       0      0      0 R  97.0  0.0   0:39.09 ksoftirqd/25
   161 root      20   0       0      0      0 R  97.0  0.0   1:16.48 ksoftirqd/30

Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в обновлении ядра 4.17.12. Обновления пакетов подготовлены для  Debian (https://security-tracker.debian.org/tracker/CVE-2018-5390), SUSE (https://www.suse.com/security/cve/CVE-2018-5390/) и Fedora, и ожидаются для Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5390).


URL: https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49094

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +6 +/
Сообщение от Onanon (?), 07-Авг-18, 00:40 
Не только лишь линукс..
https://lists.freebsd.org/pipermail/freebsd-announce/2018-Au...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –11 +/
Сообщение от xm (ok), 07-Авг-18, 01:30 
Ну так а откуда в Linux взялся TCP стек?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +5 +/
Сообщение от Аноним (12), 07-Авг-18, 06:08 
Ross Biro запилил сеть в linux
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –3 +/
Сообщение от пох (?), 07-Авг-18, 07:01 
и в ней этой уязвимости не было, как и в net3, который пилил ank (и в котором от прежнего кода не осталось ничего)
The Linux kernel, versions 4.9+, is vulnerable.

Я со своим 3.0.101 сплю спокойно дальше.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +7 +/
Сообщение от Аноним (25), 07-Авг-18, 10:13 
>Я со своим 3.0.101 сплю спокойно дальше.

И пусть Dirty COW не тревожит твой сон.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от Fyjybv755 (?), 07-Авг-18, 11:40 
> Ну так а откуда в Linux взялся TCP стек?
> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9

Проповедуете, что в 4.9 выкинули свой и воткнули бздевый?
Офигенный у вас манямирок, да.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –6 +/
Сообщение от xm (ok), 07-Авг-18, 12:23 
Нет. Только то, что он там был изначально. А это артефакты.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

7. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от Ivan_83 (ok), 07-Авг-18, 01:37 
Странно, для реассемблинга IP уже были лимиты, а тут забыли.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –5 +/
Сообщение от Аноним (18), 07-Авг-18, 07:13 
Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +2 +/
Сообщение от нах (?), 07-Авг-18, 09:30 
наоборот, это как раз фикс - раз и навсегда устанавливающий лимиты, причем ты можешь их двигать, если работаешь в необычных условиях.

А у лaпчaтыx - затычка, "мы тут попытались угадать, сколько процентов cpu можно выкинуть в помойку, остановились на цифре 12.5%, УМВР, это магия, пользователю ее видеть и иметь возможность контроля ненужно", как это траблшутить - пингвин его знает.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от Аноним (25), 07-Авг-18, 10:19 
Ну у рогатых же третий глаз закрыт.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –1 +/
Сообщение от нах (?), 07-Авг-18, 10:37 
> Ну у рогатых же третий глаз закрыт.

Фигасе, закрыт:
https://www.giantbomb.com/trickster/3005-3201/images/

А вот где вы видели третий глаз у пингвина?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

53. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –2 +/
Сообщение от Вареник (?), 07-Авг-18, 16:06 
Оптимизации всегдла делаются на неких предположениях, работающих в большинстве случаев.

Отключив все кэши (от L1 до дискового), спекулятивные оптимизации проца, асинхронную запись в потоки - можно наслаждаться чистой, ненарушенной логичностью. На локалхосте, потому что больше никто не даст гробить первфоманс.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

44. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от Аноним (44), 07-Авг-18, 12:40 
> Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.

Дай угадаю:


II.  Problem Description

One of the data structures that holds TCP segments uses an inefficient
algorithm to reassemble the data. This causes the CPU time spent on
segment processing to grow linearly with the number of segments in the
reassembly queue.

As a temporary solution to this problem, these patches limit the size
of each TCP connection's reassembly queue. The value is controlled by
a sysctl (net.inet.tcp.reass.maxqueuelen), which sets the maximum
number of TCP segments that can be outstanding on a session's
reassembly queue. This value defaults to 100.


потому что там "temporary" и предложение самому выставить нужные параметры, а у пингвина "temporary" нет и все делается "автоматически"
> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

47. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от Аноним (18), 07-Авг-18, 13:26 
> потому что там "temporary" и предложение самому выставить нужные параметры, а у
> пингвина "temporary" нет и все делается "автоматически"
>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.

А самому фикс посмотреть в обоих случаях? Я смотрел.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

55. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –1 +/
Сообщение от Аноним (44), 07-Авг-18, 17:46 
>> потому что там "temporary" и предложение самому выставить нужные параметры, а у
>> пингвина "temporary" нет и все делается "автоматически"
>>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.
> А самому фикс посмотреть в обоих случаях? Я смотрел.

А зачем? Я ж вон, цитату из пальца высосал и сразу угадал!

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

10. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +3 +/
Сообщение от Аноним (10), 07-Авг-18, 04:21 
На убунту исправление прилетело еще до того, как я прочитал эту новость.. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от A (?), 07-Авг-18, 10:26 
linux-image-generic/bionic-updates,bionic-security 4.15.0.30.32 amd64 [upgradable from: 4.15.0.29.31]

чето нет :(

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

39. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –2 +/
Сообщение от Нанобот (ok), 07-Авг-18, 12:13 
а в centos/rhel проблемы не было с самого начала
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

43. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +4 +/
Сообщение от rhel (?), 07-Авг-18, 12:26 
нет апгрейда, нет проблемы
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

14. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +4 +/
Сообщение от 11000000010101 (?), 07-Авг-18, 06:36 
Привет необновляемым роутерам и мобильникам! Ещё один пример того, что  от устройств с процессорами MTK больше вреда для экологии чем от тех, которые можно перешивать. Запретили бы их ввоз до открытия исходников. Вместо этого наказан Google.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +2 +/
Сообщение от Аноним (15), 07-Авг-18, 06:54 
Google до сих пор не в состоянии выложить проприетарные прошивки с исправлениями для чипов Broadcom (broadspwn) и Qualcomm  (сотовый стек), это не говоря о том, что было бы неплохо со стороны корпорации добра выпустить полноценные обновления ОС с критическими заплатками. Но не сделано ничего. Поэтому все альтернативные прошивки к смартфонам которые более не поддерживает Гугл идут с дырявыми прошивками и альтернативные разработчики ничего не могут с этим поделать...
Хотя Apple исправила тот же. Broadpwn во всех своих смартах...
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +3 +/
Сообщение от деанон (?), 07-Авг-18, 11:13 
А причем тут гугл?
Какое он имеет отношение к производителям которые не поддерживают свои же поделки?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

46. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от Xasd (ok), 07-Авг-18, 12:59 
> А причем тут гугл?
> Какое он имеет отношение к производителям которые не поддерживают свои же поделки?

Google условия *ставит* -- производители эти условия *исполняют*.

разве не очевидно? это прям сенсация века?

а кто кроме Google может ещё ставить условия производителям?

пример: """мы сотрудничаем при условии что железо должно работать с Ванильным Ядром.. добивайтесь включения драйверов в Апстрим Ядра, а загрузчика в Апстрим Uboot (ну или какой-там-у-гугла?)""" -- разве так сложно?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –3 +/
Сообщение от КО (?), 07-Авг-18, 11:55 
>Google до сих пор не в состоянии выложить проприетарные прошивки

Остальное лишнее. Такова плата за "свободу" Ведроида. Производители железа могут делать что хотят. Остальные - что получится.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

59. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +3 +/
Сообщение от Led (ok), 08-Авг-18, 01:11 
> Apple исправила тот же. Broadpwn во всех своих смартах...

Вот именно, своих. Не забывай об этом, счастливй пользователь несвоего ифона.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

64. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –3 +/
Сообщение от Аноним (15), 08-Авг-18, 14:07 
Ну а с ведром получается стакан наполовину полон или пуст? И какая разница если свободная карета превратилась в тыкву из-за закрытого стороннего кода?!
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

68. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от Led (ok), 08-Авг-18, 23:55 
> Ну а с ведром получается стакан наполовину полон или пуст?

Ты не про стакан, ты про свой пукан беспокойся.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

70. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –1 +/
Сообщение от Аноним (15), 09-Авг-18, 15:07 
С Nexus 5? Ну да, беспокоюсь. Пришлось дрова wifi с корнем вырвать и надеяться, что мало кто через сотовую сеть взламывать станет... :)
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

20. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от iPony (?), 07-Авг-18, 07:38 
> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов)
> Привет необновляемым роутерам и мобильникам

Ну 4.9 до них и не долетало ещё. А так тупой DDoS массам не грозит - ибо никому не нужны.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Авг-18, 12:05 
На прошлой неделе вышел Openwrt с  4.9.111
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  –2 +/
Сообщение от Аноним (41), 07-Авг-18, 12:15 
У тебя на мобильнике реальный IPшник и открытые порты? У тебя на роутере открытые наружу порты?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

49. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +/
Сообщение от 1 (??), 07-Авг-18, 14:23 
эээ - а как же торренты без открытых портов ? Не говоря уже об ssh унутрь
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

52. "В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."  +1 +/
Сообщение от lurkr (ok), 07-Авг-18, 15:52 
попробуйте nmap, будете удивлены сколько их открыто :)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

21. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  –1 +/
Сообщение от Аноним (21), 07-Авг-18, 08:48 
Былиный отказ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +7 +/
Сообщение от Тот ещё Аноним (?), 07-Авг-18, 09:33 
Я нашёл ещё одну уязвимость.. Если в стакан непрерывно наливать кипятка и переполнить его, то можно обжечься! Гады, куда смотрят создатели стаканов и кипятка!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +5 +/
Сообщение от нах (?), 07-Авг-18, 10:40 
2000p/s это, к сожалению, в нынешних условиях не "непрерывно наливать", а ты спокойно пил чай, а мимопроходящий бомж тебе туда прицельно харкнул. Херак, ты весь в кипятке!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +1 +/
Сообщение от А (??), 07-Авг-18, 10:56 
Причем тут бомж?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

45. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +2 +/
Сообщение от Аноним (45), 07-Авг-18, 12:48 
При том, что кипятка в стакан в твоих руках в данном случае может налить может любой проходящий.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +5 +/
Сообщение от Alen (??), 07-Авг-18, 13:47 
Хорошо, что по остальным пунктам претензий нет :)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от Аноним (41), 07-Авг-18, 11:08 
Для Ubuntu обновление доступно через canonical-livepatch.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  –1 +/
Сообщение от Держу в курсе (?), 07-Авг-18, 15:00 
>начиная с выпуска 4.9

видимо не зря я продолжаю сидеть на 4.4

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  –2 +/
Сообщение от Аноним (56), 07-Авг-18, 18:26 
Ребята, а ветка 2.4 уже достаточно стабильна, можно переходить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от Аноним (63), 08-Авг-18, 13:22 
Можно, я разрешаю.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  –1 +/
Сообщение от пингвинос (?), 08-Авг-18, 11:02 
Ой ой, какой ужас. Куда бежать то? А бежать некуда, все заражено и зондировано телеметрией. Похоже придется увольняться (работаю пом.админа)и идти по специальности - каменщиком. Или есть еще трудно/вообще-не взламываемая ОС?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  –1 +/
Сообщение от Andrey Mitrofanov (?), 08-Авг-18, 11:51 
>Или есть еще трудно/вообще-не взламываемая ОС?

Или есть.  Но у Вас нет допуска.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от blblbl (?), 08-Авг-18, 17:26 
Для вытаскивания сетевого кабеля из сетевухи уже нужен какой то допуск? Типа как для высоковольтки, но для слаботочки? Круть! Где получить?
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

67. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от Минона (ok), 08-Авг-18, 18:08 
Каким образом вытаскивание кабеля взламывает ОС?

А допуск нужен - в серверную. Ты не знал?

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

69. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от Адекват (ok), 09-Авг-18, 09:20 
А эксплоит есть ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от pavlinux (ok), 10-Авг-18, 16:25 
Те место в ядре указали, написали что делать... только бери редактор и пиши.

"malicious peers could inject tiny packets in out_of_order_queue,
forcing very expensive calls to tcp_collapse_ofo_queue() and
tcp_prune_ofo_queue() for every incoming packet."


Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

72. "В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."  +/
Сообщение от odd.mean (ok), 11-Авг-18, 01:53 
Давно уже. ncat называется. И ман к нему обычно в комплекте идёт.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру