Support technique
Documentation
Connexion
Nous contacter
Panique et lenteur de SACK : Les correctifs de KernelCare sont en route
21 juin 2019 - L'équipe d'experts de TuxCare
Netflix a un nouveau succès sur les bras. Ils ont découvert de nouvelles vulnérabilités du noyau Linux et décrivent comment un paquet réseau TCP correctement formé peut provoquer la panique ou le ralentissement du noyau. Il y en a trois sortes. Deux affectent les noyaux Linux. (L'autre concerne FreeBSD et ne sera pas décrite plus avant.) Toutes sont dangereuses car elles peuvent être exécutées à distance.
CVE-2019-11477 : SACK Panic
Cela affecte tous les noyaux 2.6.29 et plus anciens.
Il exploite la fonction TCP Selective ACKnowledgementdu noyau en ajustant les valeurs du MSS (Maximum Segment Size). Une séquence de paquets peut provoquer une panique du noyau.
CVE-2019-11478 & CVE-2019-11479 : Lenteur de SACK
Le premier affecte tous les noyaux avant 4.15, le second, toutes les versions de Linux.
En utilisant une technique similaire, la file d'attente de retransmission TCP devient si fragmentée que le noyau dépense des ressources excessives pour gérer les éléments SACK de cette connexion TCP, ce qui ralentit le CPU.
Atténuation
Bien que ces vulnérabilités disposent de solutions de contournement des fichiers de configuration, décrites par Netflix, la solution recommandée consiste à appliquer les correctifs du noyau. Ceux-ci sont déjà disponibles et sont prêts à être distribués aux clients de KernelCare pour une installation automatique et sans redémarrage. Toute personne n'utilisant pas une solution de correctifs en direct devra redémarrer ses serveurs pour utiliser les correctifs pour ces vulnérabilités.
À propos de KernelCare
KernelCare est un système de correction en direct qui corrige les vulnérabilités du noyau Linux automatiquement, sans redémarrage. Il est utilisé sur plus de 300 000 serveurs et permet de corriger les serveurs en fonctionnement depuis plus de 6 ans. Il fonctionne avec toutes les principales distributions Linux, telles que RHEL, CentOS, Amazon Linux et Ubuntu. Il interagit également avec les scanners de vulnérabilité courants tels que Nessus, Tenable, Rapid7 et Qualys. Pour discuter avec un consultant de la manière dont KernelCare pourrait répondre aux besoins spécifiques de votre entreprise, contactez-nous directement à l'adresse [email protected].
