ClickCease 패닉 및 속도 저하를 해결하세요: KernelCare 라이브 패치 출시 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

패닉 및 속도 저하를 해결하세요: KernelCare 라이브 패치가 출시되었습니다.

2019년 6월 24일 TuxCare 홍보팀

Kernel 관리-03 (2)

최근 잘못된 종류의 넷플릭스 오리지널이 대중에게 공개되었습니다. 이 거대 스트리밍 업체는 Linux 및 FreeBSD 서버에 영향을 미치는 네 가지 새로운 서비스 거부(DoS) 및 리소스 소비 취약점을 발견했다고 발표했습니다. 넷플릭스는 깃허브에 게시한 권고문을 통해 자세한 내용을 제공했습니다. 이 취약점은 대규모 프로덕션 Linux 컴퓨터를 운영하는 모든 기업을 위협합니다.

모범 사례 시나리오: 속도 저하

Linux를 위협하는 모든 취약점은 Kernel의 TCP 선택적 승인 기능(따라서 "TCP SACK")을 악용합니다. 이 취약점 중 두 가지 취약점(CVE-2019-11478 및 CVE-2019-11479)은 TCP 재전송 대기열을 너무 세분화하여 Kernel이 해당 TCP 연결의 SACK 요소를 관리하는 데 과도한 리소스를 소비하게 만듭니다. 이는 치명적이지는 않지만 CPU를 상당히 느리게 만들 수 있습니다. CVE-2019-11478은 4.15 이전의 모든 Kernel에 영향을 미치고, CVE-2019-11479는 2.6.29 이후의 모든 Linux 버전에 영향을 미칩니다.

최악의 시나리오: 재난

세 번째 취약점인 CVE-2019-11477은 "SACK 패닉"이라는 별칭이 붙었습니다. 모든 Kernel 2.6.29 이상에 영향을 미치는 SACK 패닉은 MSS(최대 세그먼트 크기) 값을 조정하여 Kernel의 TCP 선택적 ACK 인식 기능을 악용하는 정수 오버플로 취약점입니다. 특정 패킷 시퀀스가 Kernel 패닉을 유발할 수 있습니다.

속도 저하 취약점과 마찬가지로 SACK 패닉은 원격으로 트리거될 수 있기 때문에 특히 우려스러운 취약점입니다. 악의적인 공격자는 본격적인 패닉을 유발하여 OS를 완전히 마비시켜 표적이 된 호스트를 강제로 재시작하고 서비스를 일시적으로 중단시킬 수 있습니다. 이는 서버가 다운되고 통신이 중단되며 심각한 데이터 손실의 위험이 있음을 의미합니다. 이는 Linux 기반 시스템을 사용하여 온라인 서비스를 제공하는 서비스에는 매우 나쁜 소식입니다.

그것만으로는 충분하지 않다는 듯이: SACK 패닉은 모든 Kernel 2.6.29 이상에 영향을 미칩니다.

7일 지원되는 KernelCare 무료 체험판 받기 

 

재부팅 없이 Kernel과 IoT 디바이스를 보호하세요.

중요한 PATCH_net_1_4.patchPATCH_net_1a.patch를 포함한 KernelCare의 SACK 패닉 및 속도 저하 라이브 패치는 현재 진행 중인 UEK를 제외한 모든 지원 배포판에서 사용할 수 있습니다. SACK 패닉과 같이 심각한 취약점이라면 가능한 한 빨리 패치를 적용하고 싶을 것입니다. 예, 몇 가지 구성 파일 해결 방법이 있지만 이는 안전장치와는 거리가 멉니다.

하지만 패치를 위해 재부팅하는 경우 심각한 골칫거리가 될 수 있습니다. 서버 재부팅은 큰 불편을 초래하므로 미리 계획하지 않고는 할 수 없으며, 가능한 한 오래 미루고 싶은 유혹이 큽니다. (특히 패치가 어렵고 시간이 오래 걸리는 IoT 디바이스의 경우 더욱 그렇습니다.) 즉, 취약점이 발생할 때마다 서버를 재부팅해야 하는 번거로움이나 다운타임이 가장 적은 토요일 자정까지 재부팅을 미루는 위험과 같은 손실에 직면하게 됩니다.

또한 재부팅을 지연하면 안전하지 않을 뿐만 아니라 규정을 준수하지 않게 됩니다. 대부분의 기업의 오류 및 누락(E&O) 보험 정책과 SLA 계약의 조항은 패치에 대한 모범 사례를 준수하도록 요구합니다. 일반적으로 패치 이슈와 패치 적용 사이의 간격은 30일을 넘지 않아야 합니다. 하지만 여전히 많은 기업이 재부팅 주기를 몇 달 또는 몇 분기 단위로 계획하는 경향이 있어 보험 정책을 지속적으로 위반하고 있습니다. 패치를 더 일찍 적용할수록 더 빨리 보호받을 수 있고 규정을 더 잘 준수할 수 있습니다.

이번 주말에 KernelCare 사용자에게 패치가 배포되었으며 재부팅할 필요 없이 자동으로 적용되었습니다. 다음에 위험한 CVE가 발생하더라도 서버를 재부팅하는 번거로움을 겪을 필요가 없습니다. 업계 보안 표준을 준수하지 않아도 됩니다. KernelCare로 실시간 패치를 적용하면 손가락 하나 까딱하지 않고도 완벽하게 보호받을 수 있습니다.

7일 지원되는 KernelCare 무료 체험판 받기 

 

자세히 읽어보세요:

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기