ClickCease Pánico y lentitud en SACK: Los parches KernelCare están en camino - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Pánico y lentitud en SACK: Los parches KernelCare están en camino

21 de junio de 2019 - Equipo de expertos de TuxCare

Pánico y lentitud en SACK: Los parches KernelCare están en camino

Netflix tiene un nuevo éxito entre manos. Han descubierto nuevas vulnerabilidades del kernel de Linux y describen cómo un paquete de red TCP correctamente formado puede hacer que el kernel entre en pánico o se ralentice. Hay tres tipos. Dos afectan a los kernels Linux. (La otra es para FreeBSD, por lo que no se describirá más adelante.) Todas son peligrosas porque pueden ejecutarse remotamente.

CVE-2019-11477: SACK Panic

Esto afecta a todos los kernels 2.6.29 y anteriores.

Explota la función TCP Selective ACKnowledgementdel kernel ajustando los valores del MSS (Maximum Segment Size). Una secuencia de paquetes puede provocar un kernel panic.

CVE-2019-11478 & CVE-2019-11479: Lentitud de SACK

La primera afecta a todos los kernels anteriores a 4.15, la segunda, a todas las versiones de Linux.

Utilizando una técnica similar, la cola de retransmisión TCP se fragmenta tanto que el kernel gasta excesivos recursos gestionando los elementos SACK de esa conexión TCP, ralentizando la CPU.

Mitigación

Aunque estas vulnerabilidades tienen soluciones en los archivos de configuración, descritas por Netflix, la mitigación recomendada es aplicar los parches del kernel. Estos parches ya están disponibles y se están poniendo a disposición de los clientes de KernelCare para su instalación automática y sin reinicio. Cualquiera que no utilice una solución de parches en vivo tendrá que reiniciar sus servidores para hacer uso de los parches para estas vulnerabilidades.

 

Acerca de KernelCare

KernelCare es un sistema de parcheo en vivo que parchea vulnerabilidades del kernel de Linux automáticamente, sin reinicios. Se utiliza en más de 300.000 servidores, y se ha utilizado para parchear servidores en funcionamiento durante más de 6 años. Funciona con las principales distribuciones de Linux, como RHEL, CentOS, Amazon Linux y Ubuntu. También interopera con escáneres de vulnerabilidades comunes como Nessus, Tenable, Rapid7 y Qualys. Para hablar con un consultor sobre cómo KernelCare podría satisfacer las necesidades específicas de su empresa, póngase en contacto con nosotros directamente en [email protected].

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Cerrar enlace