-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [26/06/2019]: Vulnerabilidades na implementação do TCP SACK em sistemas FreeBSD e Linux Prezados, O CAIS alerta para as recentes vulnerabilidades encontradas na pilha de protocolos TCP dos sistemas FreeBSD e Linux, especificamente no recurso conhecido como Selective Acknowledgement (SACK). Tais vulnerabilidades podem causar consumo excessivo de recursos nos sistemas afetados, como processamento e banda, levando à condição de negação de serviço (DoS). DESCRIÇÃO CVE-2019-11477: SACK Panic (Kernel Linux) Esta vulnerabilidade pode ser explorada caso um usuário malicioso envie uma sequência especialmente criada de pacotes SACK para o host vulnerável. Ao processar os pacotes o sistema pode travar causando "kernel panic". CVE-2019-11478: SACK Slowness & Excess Resource Usage (Kernel Linux) Estas vulnerabilidades podem ser exploradas enviando uma sequência especialmente criada de pacotes SACK, fragmentados, para o host vulnerável. Ao processar os pacotes o sistema apresenta alto consumo de recursos chegando à condição de negação de serviço (DoS). CVE-2019-11479: Excess Resource Consumption Due to Low MSS Values (Kernel Linux) Um usuário malicioso pode forçar o sistema a segmentar respostas TCP em múltiplas partes. Dessa forma, o consumo de recursos, como CPU e rede, tornam-se extremamente elevados. A quantidade de largura de banda para transmissão dos dados também se torna alta, em contrapartida a quantidade de dados trafegados é baixa. CVE-2019-5599: SACK Slowness (FreeBSD 12) Um usuário malicioso pode enviar uma sequência de pacotes SACK especialmente criados que poderão fragmentar o mapeamento TCP RACK, algorítimo utilizado para detecção rápida de perda de pacotes, dessa forma requisições SACK subsequentes poderão causar extremo consumo de recursos computacionais, apresentando lentidão e até causar um estado de negação de serviço (DoS). SISTEMAS IMPACTADOS Sistemas baseados no Kernel Linux (diversos, verificar abaixo) Sistemas baseados no FreeBSD 12 (com recurso "RACK TCP" ativo) VERSÕES AFETADAS CVE-2019-11477: Todas as versões do Kernel Linux entre 2.6.29 e inferiores à 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. CVE-2019-11478: Todas as versões do Kernel Linux inferiores à 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. CVE-2019-11479: Todas as versões do Kernel Linux inferiores à 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. CVE-2019-5599: Todas as versõoes FreeBSD 12. CORREÇÕES DISPONÍVEIS Kernel Linux Aplicar os patches citados em "Mais informações [1]" ou de acordo com os disponibilizados pela sua distribuição; Atualizar para versões iguais ou superiores à 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11. Ou de acordo com o kernel disponibilizado pela sua distribuição. FreeBSD Aplicar os patches citados em "Mais informações [1] e [6]"; Atualizar para a versão FreeBSD 12 (stable/12, 12.0-STABLE & releng/12.0, 12.0-RELEASE-p6) IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-11477 CVE-2019-11478 CVE-2019-11479 CVE-2019-5599 MAIS INFORMAÇÕES [1] https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md [2] https://nvd.nist.gov/vuln/detail/CVE-2019-11477 [3] https://nvd.nist.gov/vuln/detail/CVE-2019-11478 [4] https://nvd.nist.gov/vuln/detail/CVE-2019-11479 [5] https://nvd.nist.gov/vuln/detail/CVE-2019-5599 [6] https://www.freebsd.org/security/advisories/FreeBSD-SA-19:08.rack.asc [7] https://www.debian.org/security/2019/dsa-4465 [8] https://access.redhat.com/security/vulnerabilities/tcpsack [9] https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic [10] https://www.suse.com/de-de/support/kb/doc/?id=7023928 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes e/ou desenvolvedores. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCgAdFiEE04JqHmzxtIXrrCYafN6gNLj49JgFAl0TpOkACgkQfN6gNLj4 9JjmqBAAnQhsJ43VSDQHKgTpn78qQk3UZ+LXK6OiIK8CO9NwcPElfBLGblWbXJ4c uWdKAbixoAHZ+fH8RhwDBzBGBbiiJn31rBoeLd32ujwI92Xo5Gna+mEg0SrJptOi DfTU6bflE11gzfKp1s8xBjS4L5mYFK3Jy6Kb1h2aIP59V2+SEto6ntc06dQKs/VC yKPiL+FuKyzU1Bv0yGDGuv22SZ1CzeGx83cKRqwew4ZYnWxB3CLY9KBwOLJ31SAP gwqAwYfsMibYO+/ig1zBVu7Rg6rJbSyBraJrNI3YbMLUAM3Z6w/g2D3ivC07fQ1E 0fCbsl8fXY7XCyrWF+NMzcxfMqHO9ET4b7MAHks5rkw8FnACJmDj/Bid7IQiyFLS 7DcF8NxDPyfyTNWGaCwvxtim8oO23NcB8tpCIN91M52XhQMkvLBCL9omqNQZqrBN /CJTua/5o2z4AAlrYpcphK6GO877whB9nwzEMVhXgH0LN/6yC/YiOi8dlH5V4V5H if9bv41lYtb8+4nnmi7ifmP1xeXjrBVGW4MXvr5/XUDGY+bvtqCapAXCAqeagxwn 7eNtkYt1V6/lXRtgDLrdncOMs8pQUCnct9cpcL668CVzo+AfFhBII9VKpA4X1+pN ee9c2y6DYmCuXNfGD5VGF/z2MaHvoMlEWimm//usD08pc4nFclw= =EXCu -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta