0x00 | 漏洞描述
2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP 协议模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞可能被远程攻击者用于拒绝服务攻击。
0x01 | 漏洞细节
SACK(Selective ACK)是TCP选项,它使得接收方能告诉发送方哪些报文段丢失,哪些报文段重传了,哪些报文段已经提前收到等信息。根据这些信息TCP就可以只重传哪些真正丢失的报文段。需要注意的是只有收到失序的分组时才会可能会发送SACK,TCP的ACK还是建立在累积确认的基础上的。
Linux SKB 最多可以容纳17个片段:
linux/include/linux/skbuff.h
define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1) => 17
每个片段在x86(PowerPC上为64KB)的数据中最多可容纳32KB,当数据包将被发送时,它被放置在发送队列中,它的详细信息保存在控制缓冲区结构中:
linux/include/linux/skbuff.h
struct tcp_skb_cb {
__u32 seq; /* Starting sequence number */
__u32 end_seq; /* SEQ + FIN + SYN + datalen */
__u32 tcp_tw_isn;
struct {
u16 tcp_gso_segs;
u16 tcp_gso_size;
};
__u8 tcp_flags; /2* TCP header flags. (tcp[13]) */
…
}
tcp_gso_segs用于记录数据包个数,类型为u16,最多记录65535个。但是SACK机制允许TCP在重传中合并多个SKB队列,从而填充17个片段到最大容量, 17 * 32 * 1024 / 8 = 69632,造成tcp_gso_segs整数溢出,进而触发BUG_ON()调用,导致内核崩溃。
static bool tcp_shifted_skb (struct sock *sk, …, unsigned int pcount, ...)
{
...
tcp_skb_pcount_add(prev, pcount);
BUG_ON(tcp_skb_pcount(skb) < pcount); <= SACK panic
tcp_skb_pcount_add(skb, -pcount);
…
}
攻击者可以通过发送一系列特定的SACK包,触发内核模块的整数溢出漏洞,理论上可以实施远程拒绝服务攻击。
0x02 | 影响版本
影响Linux 内核2.6.29及以上版本
以下Red Hat产品版本受到影响:
主要受影响的产品
- 红帽企业Linux 8
- 红帽企业Linux 7
- 红帽企业Linux 6
- 红帽企业Linux 5
- 红帽原子主机
- 红帽企业MRG 2
- 红帽OpenShift容器平台4(RHEL CoreOS)
- 红帽OpenShift在线
- Red Hat OpenShift专用(和依赖服务)
- Azure上的OpenShift(ARO)
- 红帽OpenStack平台(图片发送内核)
- 红帽虚拟化(RHV-H)
二次受影响的产品(底层平台必须更新)
- 红帽虚拟化(RHV)
- 红帽OpenStack平台
- 红帽OpenShift容器平台3
0x03 | 漏洞修复
(1)及时更新补丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch
Linux内核版本>=4.14需要打第二个补丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch
(2)禁用SACK处理
echo 0 > /proc/sys/net/ipv4/tcp_sack
(3)使用过滤器来阻止攻击
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)
(4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞
https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
(上述资料节选自360安全响应)
作者的话
网络安全固然重要,请保护好自己的手和服务器的安全,不要做坏事,本次复现由于相关法律所以并没有多大展示细节,望告知...
长按二维码关注我们