Multiple TCP-based remote denial of service vulnerabilities in FreeBSD and Linux Kernels
-
CVE-2019-11477
-
CVE-2019-11478
-
CVE-2019-11479
-
CVE-2019-5599
Bronnen
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Risico’s
Een aanvaller kan van op afstand een denial of service uitlokken op meerdere kwetsbare Linux-distributies. Een van de kwetsbaarheden, "SACK Panic" genoemd, laat een aanvaller zelf toe om op recente Linux kernels van op afstand een kernelpaniek te veroorzaken.
Beschrijving
Netflix heeft verschillende TCP-netwerk gerelateerde kwetsbaarheden geïdentificeerd in FreeBSD- en diverse Linux-kernels.
De kwetsbaarheden bevinden zich in de implementatie van de minimale segmentgrootte (MSS) en TCP Selective Acknowledgement (SACK).
Er zijn onofficiële patches die de meeste van deze kwetsbaarheden oplossen, daarnaast zijn er diverse werkarounds op de repository van Netflix GitHub
Aanbevolen acties
Op het moment van schrijven zijn er nog geen patches beschikbaar. Netflix publiceerde echter enkele workarounds op hun GitHub pagina:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
CERT.be raadt systeembeheerders aan om de GitHub repository die de kwetsbaarheden vermelden te monitoren, en een risicoanalyse + tests uit te voeren om te bepalen of de workarounds geïmplementeerd kunnen worden op kwetsbare systemen.
CERT.be raadt systeembeheerders aan om de kwetsbaarheden te patchen nadat de leverancier een officiele patch uitbrengt.