TCP SACK PANIC: Linux- und FreeBSD-Kernel lassen sich aus der Ferne angreifen

Netflix hat einige Sicherheitsprobleme im Netzwerk-Stack von Linux- und FreeBSD-Kerneln entdeckt, die sich für Denial-of-Service-Attacken eignen.

In Pocket speichern vorlesen Druckansicht 204 Kommentare lesen
Monitor im Serverraum der eine Linux Kernal-Panic zeigt

Will niemand sehen, schon gar nicht wenn es remote provoziert werden kann: Kernel Panic.

(Bild: "Kernel panic" by Kevin (CC BY 2.0))

Lesezeit: 2 Min.

Die Kernel von Linux und FreeBSD weisen Sicherheitslücken im Netzwerk-Stack auf. Die vier von Netflix entdeckten Lücken betreffen unterschiedliche Versionen der Kernel und haben unterschiedlich schwere Auswirkungen. Die problematischste (CVE-2019-11477, "SACK Panic") kann Angreifern unter bestimmten Voraussetzungen ermöglichen, unter Linux eine Kernel Panic aus der Ferne zu provozieren.

Eine Kernel Panic ist eine Fehlermeldung des Kernels, die aus einem Zustand erfolgt, in dem das Betriebssystem nicht mehr lauffähig ist. Das betroffene System kann dann seine Aufgaben nicht mehr wahrnehmen und verweigert den Dienst – ein sogenannter Denial of Service (DoS).

CVE-2019-11477 hat einen CVSS-v3-Base-Score von 7.5 und wird von RedHat als "wichtig" eingestuft. Sie betrifft den Linux-Kernel ab einschließlich Version 2.6.29. Die übrigen Lücken – CVE-2019-11478 und CVE-2019-11479 in mehreren Linux-Kernel-Versionen sowie CVE-2019-5599 in FreeBSD 12 – haben weniger dramatische Auswirkungen. Durch sie können betroffene Systeme dazu gebracht werden, unverhältnismäßig viele Ressourcen zu konsumieren. Unter bestimmten Voraussetzungen kann allerdings auch das für DoS-Attacken genutzt werden.

Eine Übersicht über die vier Lücken nebst Informationen zu den jeweils betroffenen Kernel-Versionen bietet ein von Netflix veröffentlichtes Advisory.

Netflix hat Patches veröffentlicht, die zur Zeit von den bekannten Linux-Distributionen implementiert werden, teilweise sind aktualisierte Pakete bereits verfügbar, z.B. für Arch Linux, Debian, RedHat, SUSE oder Ubuntu. Wenn man darauf nicht warten kann oder will, sind möglicherweise die von Netflix im Advisory genannten Workarounds eine Option.

Die Lücken stehen alle im Zusammenhang mit dem "Selective Acknowledgement"-Mechanismus (SACK) für TCP-Verbindungen, beziehungsweise mit der "Maximum Segment Size" (MSS) solcher Verbindungen. Bei RedHat findet sich eine detaillierte Erklärung von Sinn und Zweck dieser Mechanismen im Zusammenhang mit den aktuellen Problemen.

[UPDATE: 18. 6. 2019, 13:42]

Formulierungen angepasst und Links eingefügt. (syt)