URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114997
[ Назад ]
Исходное сообщение
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено opennews , 07-Авг-18 00:40 
В TCP-стеке ядра Linux выявлена (https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...) опасная уязвимость (https://www.kb.cert.org/vuls/id/962459) (CVE-2018-5390 (https://security-tracker.debian.org/tracker/CVE-2018-5390)), которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый  TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).


Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Затрачиваемых при выполнении данных вызовов ресурсов достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например,  для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно (https://access.redhat.com/articles/3553061) потока интенсивностью всего 2 тысячи пакетов в секунду.

   141 root      20   0       0      0      0 R  97.3  0.0   1:16.33 ksoftirqd/26
   151 root      20   0       0      0      0 R  97.3  0.0   1:16.68 ksoftirqd/28
   136 root      20   0       0      0      0 R  97.0  0.0   0:39.09 ksoftirqd/25
   161 root      20   0       0      0      0 R  97.0  0.0   1:16.48 ksoftirqd/30

Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в обновлении ядра 4.17.12. Обновления пакетов подготовлены для  Debian (https://security-tracker.debian.org/tracker/CVE-2018-5390), SUSE (https://www.suse.com/security/cve/CVE-2018-5390/) и Fedora, и ожидаются для Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-5390).


URL: https://blogs.akamai.com/2018/08/linux-kernel-tcp-vulnerabil...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49094

Содержание
Сообщения в этом обсуждении
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Onanon , 07-Авг-18 00:40 
Не только лишь линукс..
https://lists.freebsd.org/pipermail/freebsd-announce/2018-Au...
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено xm , 07-Авг-18 01:30 
Ну так а откуда в Linux взялся TCP стек?
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 06:08 
Ross Biro запилил сеть в linux
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено пох , 07-Авг-18 07:01 
и в ней этой уязвимости не было, как и в net3, который пилил ank (и в котором от прежнего кода не осталось ничего)
The Linux kernel, versions 4.9+, is vulnerable.

Я со своим 3.0.101 сплю спокойно дальше.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 10:13 
>Я со своим 3.0.101 сплю спокойно дальше.

И пусть Dirty COW не тревожит твой сон.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Fyjybv755 , 07-Авг-18 11:40 
> Ну так а откуда в Linux взялся TCP стек?
> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9

Проповедуете, что в 4.9 выкинули свой и воткнули бздевый?
Офигенный у вас манямирок, да.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено xm , 07-Авг-18 12:23 
Нет. Только то, что он там был изначально. А это артефакты.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Ivan_83 , 07-Авг-18 01:37 
Странно, для реассемблинга IP уже были лимиты, а тут забыли.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 07:13 
Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено нах , 07-Авг-18 09:30 
наоборот, это как раз фикс - раз и навсегда устанавливающий лимиты, причем ты можешь их двигать, если работаешь в необычных условиях.

А у лaпчaтыx - затычка, "мы тут попытались угадать, сколько процентов cpu можно выкинуть в помойку, остановились на цифре 12.5%, УМВР, это магия, пользователю ее видеть и иметь возможность контроля ненужно", как это траблшутить - пингвин его знает.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 10:19 
Ну у рогатых же третий глаз закрыт.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено нах , 07-Авг-18 10:37 
> Ну у рогатых же третий глаз закрыт.

Фигасе, закрыт:
https://www.giantbomb.com/trickster/3005-3201/images/

А вот где вы видели третий глаз у пингвина?

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Вареник , 07-Авг-18 16:06 
Оптимизации всегдла делаются на неких предположениях, работающих в большинстве случаев.

Отключив все кэши (от L1 до дискового), спекулятивные оптимизации проца, асинхронную запись в потоки - можно наслаждаться чистой, ненарушенной логичностью. На локалхосте, потому что больше никто не даст гробить первфоманс.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 12:40 
> Только это не фикс в отличие от линуксового. Затычка. Слезы скорби.

Дай угадаю:


II.  Problem Description
One of the data structures that holds TCP segments uses an inefficient
algorithm to reassemble the data. This causes the CPU time spent on
segment processing to grow linearly with the number of segments in the
reassembly queue.
As a temporary solution to this problem, these patches limit the size
of each TCP connection's reassembly queue. The value is controlled by
a sysctl (net.inet.tcp.reass.maxqueuelen), which sets the maximum
number of TCP segments that can be outstanding on a session's
reassembly queue. This value defaults to 100.

потому что там "temporary" и предложение самому выставить нужные параметры, а у пингвина "temporary" нет и все делается "автоматически"
> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 13:26 
> потому что там "temporary" и предложение самому выставить нужные параметры, а у
> пингвина "temporary" нет и все делается "автоматически"
>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.

А самому фикс посмотреть в обоих случаях? Я смотрел.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 17:46 
>> потому что там "temporary" и предложение самому выставить нужные параметры, а у
>> пингвина "temporary" нет и все делается "автоматически"
>>> + * 3) Drop at least 12.5 % of sk_rcvbuf to avoid malicious attacks.
> А самому фикс посмотреть в обоих случаях? Я смотрел.

А зачем? Я ж вон, цитату из пальца высосал и сразу угадал!

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 04:21 
На убунту исправление прилетело еще до того, как я прочитал эту новость.. :)
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено A , 07-Авг-18 10:26 
linux-image-generic/bionic-updates,bionic-security 4.15.0.30.32 amd64 [upgradable from: 4.15.0.29.31]

чето нет :(

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Нанобот , 07-Авг-18 12:13 
а в centos/rhel проблемы не было с самого начала
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено rhel , 07-Авг-18 12:26 
нет апгрейда, нет проблемы
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено 11000000010101 , 07-Авг-18 06:36 
Привет необновляемым роутерам и мобильникам! Ещё один пример того, что  от устройств с процессорами MTK больше вреда для экологии чем от тех, которые можно перешивать. Запретили бы их ввоз до открытия исходников. Вместо этого наказан Google.
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 06:54 
Google до сих пор не в состоянии выложить проприетарные прошивки с исправлениями для чипов Broadcom (broadspwn) и Qualcomm  (сотовый стек), это не говоря о том, что было бы неплохо со стороны корпорации добра выпустить полноценные обновления ОС с критическими заплатками. Но не сделано ничего. Поэтому все альтернативные прошивки к смартфонам которые более не поддерживает Гугл идут с дырявыми прошивками и альтернативные разработчики ничего не могут с этим поделать...
Хотя Apple исправила тот же. Broadpwn во всех своих смартах...
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено деанон , 07-Авг-18 11:13 
А причем тут гугл?
Какое он имеет отношение к производителям которые не поддерживают свои же поделки?
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Xasd , 07-Авг-18 12:59 
> А причем тут гугл?
> Какое он имеет отношение к производителям которые не поддерживают свои же поделки?

Google условия *ставит* -- производители эти условия *исполняют*.

разве не очевидно? это прям сенсация века?

а кто кроме Google может ещё ставить условия производителям?

пример: """мы сотрудничаем при условии что железо должно работать с Ванильным Ядром.. добивайтесь включения драйверов в Апстрим Ядра, а загрузчика в Апстрим Uboot (ну или какой-там-у-гугла?)""" -- разве так сложно?

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено КО , 07-Авг-18 11:55 
>Google до сих пор не в состоянии выложить проприетарные прошивки

Остальное лишнее. Такова плата за "свободу" Ведроида. Производители железа могут делать что хотят. Остальные - что получится.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Led , 08-Авг-18 01:11 
> Apple исправила тот же. Broadpwn во всех своих смартах...

Вот именно, своих. Не забывай об этом, счастливй пользователь несвоего ифона.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 08-Авг-18 14:07 
Ну а с ведром получается стакан наполовину полон или пуст? И какая разница если свободная карета превратилась в тыкву из-за закрытого стороннего кода?!
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Led , 08-Авг-18 23:55 
> Ну а с ведром получается стакан наполовину полон или пуст?

Ты не про стакан, ты про свой пукан беспокойся.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 09-Авг-18 15:07 
С Nexus 5? Ну да, беспокоюсь. Пришлось дрова wifi с корнем вырвать и надеяться, что мало кто через сотовую сеть взламывать станет... :)
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено iPony , 07-Авг-18 07:38 
> Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов)
> Привет необновляемым роутерам и мобильникам

Ну 4.9 до них и не долетало ещё. А так тупой DDoS массам не грозит - ибо никому не нужны.

"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Вы забыли заполнить поле Name , 07-Авг-18 12:05 
На прошлой неделе вышел Openwrt с  4.9.111
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено Аноним , 07-Авг-18 12:15 
У тебя на мобильнике реальный IPшник и открытые порты? У тебя на роутере открытые наружу порты?
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено 1 , 07-Авг-18 14:23 
эээ - а как же торренты без открытых портов ? Не говоря уже об ssh унутрь
"В TCP-стеке ядра Linux выявлена уязвимость, приводящая к отк..."
Отправлено lurkr , 07-Авг-18 15:52 
попробуйте nmap, будете удивлены сколько их открыто :)
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Аноним , 07-Авг-18 08:48 
Былиный отказ
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Тот ещё Аноним , 07-Авг-18 09:33 
Я нашёл ещё одну уязвимость.. Если в стакан непрерывно наливать кипятка и переполнить его, то можно обжечься! Гады, куда смотрят создатели стаканов и кипятка!
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено нах , 07-Авг-18 10:40 
2000p/s это, к сожалению, в нынешних условиях не "непрерывно наливать", а ты спокойно пил чай, а мимопроходящий бомж тебе туда прицельно харкнул. Херак, ты весь в кипятке!

"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено А , 07-Авг-18 10:56 
Причем тут бомж?
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Аноним , 07-Авг-18 12:48 
При том, что кипятка в стакан в твоих руках в данном случае может налить может любой проходящий.
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Alen , 07-Авг-18 13:47 
Хорошо, что по остальным пунктам претензий нет :)
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Аноним , 07-Авг-18 11:08 
Для Ubuntu обновление доступно через canonical-livepatch.
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Держу в курсе , 07-Авг-18 15:00 
>начиная с выпуска 4.9

видимо не зря я продолжаю сидеть на 4.4

"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Аноним , 07-Авг-18 18:26 
Ребята, а ветка 2.4 уже достаточно стабильна, можно переходить?
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Аноним , 08-Авг-18 13:22 
Можно, я разрешаю.
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено пингвинос , 08-Авг-18 11:02 
Ой ой, какой ужас. Куда бежать то? А бежать некуда, все заражено и зондировано телеметрией. Похоже придется увольняться (работаю пом.админа)и идти по специальности - каменщиком. Или есть еще трудно/вообще-не взламываемая ОС?
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Andrey Mitrofanov , 08-Авг-18 11:51 
>Или есть еще трудно/вообще-не взламываемая ОС?

Или есть.  Но у Вас нет допуска.

"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено blblbl , 08-Авг-18 17:26 
Для вытаскивания сетевого кабеля из сетевухи уже нужен какой то допуск? Типа как для высоковольтки, но для слаботочки? Круть! Где получить?
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Минона , 08-Авг-18 18:08 
Каким образом вытаскивание кабеля взламывает ОС?

А допуск нужен - в серверную. Ты не знал?

"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено Адекват , 09-Авг-18 09:20 
А эксплоит есть ?
"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено pavlinux , 10-Авг-18 16:25 
Те место в ядре указали, написали что делать... только бери редактор и пиши.

"malicious peers could inject tiny packets in out_of_order_queue,
forcing very expensive calls to tcp_collapse_ofo_queue() and
tcp_prune_ofo_queue() for every incoming packet."


"В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая ..."
Отправлено odd.mean , 11-Авг-18 01:53 
Давно уже. ncat называется. И ман к нему обычно в комплекте идёт.