Netflix的安全团队在本周披露位于FreeBSD与Linux核心的4个安全漏洞,这些漏洞都涉及TCP网络,包括最小分段尺寸(Minimum Segment Size,MSS)与TCP选择性确认(TCP Selective Acknowledgement,SACK),而其中最严重的CVE-2019-11477漏洞又被称为SACK Panic,因为它允许黑客自远程触发核心错误(Kernel Panic)。
黑客只要通过特定的SACK串行,就有可能引发整数溢出(Integer Overflow)漏洞,进而造成核心错误。CVE-2019-11477漏洞影响Linux 2.6.29及之前的版本。企业已发布修补程序,或者Linux用户也能简单关闭SACK处理功能来缓解。
CVE-2019-11478漏洞则允许黑客利用特定的SACK串行破坏TCP的重传队列,或是进一步开采这些破碎的队列,造成SACK缓慢或资源的过度使用,影响Linux 4.15以前的版本。
CVE-2019-5599也可以借由特定SACK串行来破坏RACK send map,而造成SACK变慢,影响采用RACK TCP Stack的FreeBSD 12。
至于所有版本的Linux则都含有CVE-2019-11479漏洞,它允许黑客强迫Linux核心把回应切成多个TCP区段,但每个区段只含有8进制的数据量,大幅增加了发送同样数据量的所需带宽,同时还会额外耗损诸如CPU及NIC等资源,相当于拒绝服务攻击。
CVE-2019-11479也有简单的缓解决方案式,也即利用过滤机制来限制最小分段尺寸(Minimum Segment Size,MSS)所能采用的数值。