Multiples vulnérabilités dans l'implémentation TCP sur Linux et FreeBSD permettant des dénis de service à distance
-
CVE-2019-11477
-
CVE-2019-11478
-
CVE-2019-11479
-
CVE-2019-5599
Sources
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Risques
Un acteur malveillant peut à distance provoquer un déni de service. Plusieurs distributions Linux sont vulnérables. Une des vulnérabilités, appelée "SACK Panic", permet de déclencher à distance une panique du noyau sur les versions impactées.
Description
Netflix a identifié plusieurs vulnérabilités dans l'implémentation TCP dans les noyaux FreeBSD et Linux.
Les vulnérabilités sont liées à la taille minimale du segment (MSS) et aux capacités du mécanisme d’acquittement sélectif TCP (SACK, Selective Acknowledgment).
Il existe des correctifs non officiels pour la plupart de ces vulnérabilités et une série de mesures d'atténuation affichées sur le repository GitHub de Netflix.
L’une des vulnérabilités, appelée "SACK Panic", permet une panique du noyau déclenchée à distance sur les noyaux Linux récents.
Actions recommandées
Actuellement aucun correctif n'est encore disponible. Cependant, Netflix a publié quelques mesures d'atténuation sur leur page GitHub :
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
CERT.be recommande aux administrateurs système de surveiller le référentiel GitHub des vulnérabilités et d'effectuer une analyse de risque et des tests pour déterminer si les solutions de contournement peuvent être mises en œuvre.
CERT.be recommande aux administrateurs système de corriger les vulnérabilités une fois qu'un correctif a été mis à disposition par le fournisseur après un test minutieux.