Sehr geehrte Damen und Herren,
wie am gestrigen Montag, den 17. Juni 2019 bekanntgegeben wurde, existiert in gewissen Versionen des Linux-Kernels wie auch des FreeBSD 12-Kernels (bei Verwendung von RACK) eine Schwachstelle, die sich remote (also über das Netzwerk) ausnutzen lässt.
Die CVE-Kennungen sind folgende:
CVE-2019-11477 – SACK Panic (Linux >= 2.6.29)
CVE-2019-11478 – SACK Slowness (Linux < 4.15) or Excess Resource Usage
(all Linux versions)
CVE-2019-5599 – SACK Slowness (FreeBSD 12 using the RACK TCP Stack)
CVE-2019-11479 – Excess Resource Consumption Due to Low MSS Values (all
Linux versions)
Mit derzeitigem Stand stehen zwar Patches bereit, dies bedingt jedoch die Verwendung eines selbstgebauten Kernels. In der Regel werden jedoch die von der jeweilig verwendeten Distribution gelieferten Kernel-Pakete genutzt. Mit Stand von heute 9:00 Uhr stehen noch keine aktualisierten Kernel-Pakete der “großen” Distributionen (CentOS, Fedora, Ubuntu, Debian) zur Verfügung.
Ein sofort greifender Workaround zur Laufzeit ist mit der Rekonfiguration folgender sysctl-Parameter möglich:
net.ipv4.tcp_dsack = 0
net.ipv4.tcp_sack = 0
Um die Änderungen “rebootfest” zu machen, sind beide Zeilen in der von der jeweilig verwendeten Distribution genutzten Konfigurationsdatei (i.d.R. /etc/sysctl.conf) einzupflegen.
Details zum Bugreport finden Sie hier:
https://www.openwall.com/lists/oss-security/2019/06/17/5
Details zu den einzelnen CVEs sind hier zu finden:
CVE-2019-11477 – https://access.redhat.com/security/vulnerabilities/tcpsack
CVE-2019-11478 – https://access.redhat.com/security/cve/cve-2019-11478
CVE-2019-5599 – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5599
CVE-2019-11479 – https://access.redhat.com/security/cve/cve-2019-11479