ClickCease 패닉 및 속도 저하를 해결하세요: KernelCare 패치 출시 예정 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

패닉 및 속도 저하를 해결하세요: KernelCare 패치가 출시 중입니다.

2019년 6월 21일 TuxCare 홍보팀

패닉 및 속도 저하를 해결하세요: KernelCare 패치가 출시 중입니다.

넷플릭스가 새로운 공격에 직면했습니다. 새로운 Linux Kernel 취약점을 발견했으며, 제대로 형성되지 않은 TCP 네트워크 패킷으로 인해 Kernel이 패닉 상태에 빠지거나 속도가 느려질 수 있는 방법을 설명합니다. 세 가지 종류가 있습니다. 두 가지는 Linux Kernel에 영향을 줍니다. (다른 하나는 FreeBSD에 대한 것이므로 더 이상 설명하지 않겠습니다.) 모두 원격으로 실행될 수 있기 때문에 위험합니다.

CVE-2019-11477: SACK 패닉

이는 모든 Kernel 2.6.29 이상에 영향을 줍니다.

이 공격은 MSS(최대 세그먼트 크기) 값을 조정하여 Kernel의 TCP 선택적 ACK 인식기능을 악용합니다. 패킷 시퀀스는 Kernel 패닉을 일으킬 수 있습니다.

CVE-2019-11478 및 CVE-2019-11479: SACK 속도 저하

첫 번째는 4.15 이전의 모든 Kernel에, 두 번째는 모든 Linux 버전에 영향을 미칩니다.

유사한 기술을 사용하면 TCP 재전송 대기열이 너무 세분화되어 Kernel이 해당 TCP 연결의 SACK 요소를 관리하는 데 과도한 리소스를 소비하여 CPU 속도가 느려집니다.

완화

이러한 취약점에는 넷플릭스에서 설명하는 구성 파일 우회 방법이 있지만, 권장되는 완화 방법은 Kernel 패치를 적용하는 것입니다. Kernel 패치는 이미 사용 가능하며, 재부팅 없이 자동으로 설치할 수 있도록 KernelCare 고객에게 배포할 준비를 하고 있습니다. 라이브 패치 솔루션을 사용하지 않는 모든 사용자는 서버를 재부팅해야 이러한 취약점에 대한 패치를 사용할 수 있습니다.

 

KernelCare 정보

KernelCare는 재부팅 없이 Linux Kernel 취약점을 자동으로 패치하는 라이브 패치 시스템입니다. 30만 대 이상의 서버에서 사용되고 있으며 6년 이상 운영 중인 서버를 패치하는 데 사용되어 왔습니다. RHEL, CentOS, Amazon Linux 및 Ubuntu와 같은 모든 주요 Linux 배포판에서 작동합니다. 또한 Nessus, Tenable, Rapid7, Qualys와 같은 일반적인 취약성 스캐너와도 상호 운용됩니다. 컨설턴트와 상담하려면 [email protected] 으로 직접 문의하세요.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기