Pozor, Linux je možné na diaľku vyradiť efektívnym DoS útokom

Značky: bezpečnosťLinux

DSL.sk, 7.8.2018

V jadre operačného systému Linux sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útočníkom efektívne odstaviť cez Internet sieťový linuxový server, PC, router alebo iné zariadenie DoS útokom s otvoreným ľubovoľným TCP/IP portom.

V pondelok na zraniteľnosť označenú SegmentSmack upozornil americký CERT zriadený pri Carnegie Mellon University, na konci júla ju identifikoval Juha-Matti Tilli z Aalto University a Nokia Bell Labs.

Zraniteľnosť sa nachádza v implementácii sieťového protokolu TCP/IP a vďaka nej môže útočník malými paketmi špecifickej podoby spôsobiť volanie funkcií tcp_collapse_ofo_queue() a tcp_prune_ofo_queue() spôsobom veľmi náročným na výkon CPU pre každý prichádzajúci paket. Volanie týchto funkcií môže byť tak náročné na výkon, že útok je mimoriadne efektívny a pomocou malého dátového pásma je možné efektívne úplne odstaviť napríklad internetové servery.

Konkrétne podľa oznámenia Red Hatu je možné Linux odstaviť pomocou útoku majúceho menej ako 2 Kpps, teda dvetisíc paketov za sekundu, nie je jasné stroj s koľkými logickými jadrami je možné takto odstaviť respektíve či ide o dátový tok útoku na jedno jadro. V každom prípade na odstavenie jedného jadra evidentne stačí jedno TCP/IP spojenie, keď Red Hat ilustruje odstavenie stroja so štyrmi CPU pomocou štyroch spojení.

Menším obmedzením útoku je, že pre trvalý útok musí útočník reálne nadviazať TCP/IP spojenie a útok tak nie je možný pomocou paketov s podvrhnutými zdrojovými IP adresami. Pri dnešnom bežnom rozšírení botnetov to ale zrejme nepredstavuje veľké obmedzenie.

Zraniteľnosť je prítomná v jadre počnúc verziou 4.9 vydanou v decembri 2016 a podľa Red Hatu na zabránenie útoku nie sú k dispozícii žiadne aplikovateľné opatrenia okrem nainštalovania opravenej verzie jadra. Záplata je k dispozícii už od konca júla, linuxové distribúcie vrátane Red Hatu ju aktuálne zapracúvajú.




Najnovšie články:



Diskusia:

LINUX OVCE Od: LINUX OVCE | Pridané: 7.8.2018 14:23 Zlaty windows... Odpovedať Známka: -3.3 Hodnotiť:

Re: LINUX OVCE Od: linuxak... | Pridané: 7.8.2018 14:31 wanna cry? :D Odpovedať Známka: 7.3 Hodnotiť:

Re: LINUX OVCE Od: syntaxterrorX. XX | Pridané: 7.8.2018 14:53 wanna DoS cez mokrý špagát? :D Odpovedať Známka: 6.4 Hodnotiť:

Re: LINUX OVCE Od: spomienky | Pridané: 7.8.2018 15:57 wanna half ? Odpovedať Známka: 2.0 Hodnotiť:

Re: LINUX OVCE Od: martincc | Pridané: 7.8.2018 18:44 want sum fuk? Odpovedať Známka: 6.7 Hodnotiť:

Re: LINUX OVCE Od: ericek111 [PC] | Pridané: 7.8.2018 14:32 Windows namiesto toho, aby spadol, ťa rovno pustí do systému. B-) Odpovedať Známka: 5.7 Hodnotiť:

Re: LINUX OVCE Od: marekzt | Pridané: 7.8.2018 14:32 Windows stanice musia byť za blade serverom. Prečo? Je jasné z povahy vecí. Odpovedať Známka: 0.0 Hodnotiť:

Re: LINUX OVCE Od: fumbduck | Pridané: 7.8.2018 14:45 ako to myslis? ze v datacentre mozu byt windowsy iba za rackom s bladeami? Odpovedať Známka: 8.3 Hodnotiť:

Re: LINUX OVCE Od: syntaxterrorX. XX | Pridané: 7.8.2018 15:24 Mnoo.... cholerik sa bude za flegmatika skryvat priekazne zbytocne. Odpovedať Známka: -3.8 Hodnotiť:

Re: LINUX OVCE Od: _xxx | Pridané: 7.8.2018 15:10 blade, ten lovec upirov? Odpovedať Známka: 4.5 Hodnotiť:

Re: LINUX OVCE Od: fgs | Pridané: 7.8.2018 14:57 wanna be? :D Odpovedať Známka: -5.0 Hodnotiť:

Linux je možné na diaľku vyradiť Od: +-/ | Pridané: 7.8.2018 15:00 ako je na tom freebsd? Odpovedať Známka: 6.5 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od reg.: cca01 | Pridané: 7.8.2018 15:22 Freebsd nikto nepouziva ani na serveroch, takze tvoja otazka je zbytocna :D Odpovedať Známka: -2.7 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: meno nepoviem | Pridané: 7.8.2018 16:11 By si sa čudoval. Normálne napríklad i taký XigmaNAS (bývalý NAS4Free, FreeNAS) sa dá používať ako server celkom v pohode aj na také to domáce žuvanie. A to je postavený na FreeBSD :) https://dopice.sk/lMr Aj v práci kolega admin na moje odporúčanie na tom postavil jeden stroj na špecifické vnútropodnikové riešenie. Odpovedať Známka: 4.3 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: matok0 | Pridané: 7.8.2018 16:39 ľutujem toho čo to bude spravovať po ňom Odpovedať Známka: -0.5 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: linux-man | Pridané: 7.8.2018 16:47 ak to bude rychlokvaska, ktora vyrastala na windowse a bez klikacieho windows-like prostredia sa ani nevyserie, tak ano... profici, ako teta Viera, by vam tie vase farebnie obraztoke najradsej zakazali. Odpovedať Známka: 4.0 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: meno nepoviem | Pridané: 7.8.2018 18:26 Podľa tvojho komentu usudzujem že nemáš šajnu ako jednoducho a ľahko sa NAS4Free spravuje. Odpovedať Známka: 7.8 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: matok0 | Pridané: 8.8.2018 15:11 Ospravedlňujem sa.. pozriel som si k tomu dokumentáciu a nevyzerá to zle. vyskúšam. (a nabudúce si dám pozor čo napíšem do diskusie) Odpovedať Známka: 10.0 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: pomocny osvetlovac | Pridané: 7.8.2018 17:27 my mame asi 30 serverov na FreeBSD, a presne 0 na linuxe :D takze nehovoril by som, ze sa to nepouziva :) Odpovedať Známka: 6.7 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX. XX | Pridané: 7.8.2018 17:50 Presne tak. Skvelou mnemotechnickou pomockou na spracovanie rozdielu medzi mat a pouzivat je priekazne mozog. Odpovedať Známka: -4.5 Hodnotiť:

Re: Linux je možné na diaľku vyradiť Od: meno musi mat aspon 3 znaky | Pridané: 7.8.2018 20:13 freebsd je na tom rovnako https://dopice.sk/lMw Odpovedať Známka: 10.0 Hodnotiť:

verzia jadra s opravou Od: bzano | Pridané: 7.8.2018 15:14 vie niekto v ktorej verzii jadra to je uz opravené ?? Odpovedať Známka: 6.9 Hodnotiť:

Re: verzia jadra s opravou Od: LINUX OVCE | Pridané: 7.8.2018 15:19 Windows 10 Odpovedať Známka: 3.8 Hodnotiť:

Re: verzia jadra s opravou Od: ffdf | Pridané: 7.8.2018 18:20 srandista :-) Odpovedať Známka: 7.1 Hodnotiť:

Re: verzia jadra s opravou Od reg.: IT odbornik Andrej | Pridané: 8.8.2018 10:41 Naprogramovat Linux je zlozitejsie, lebo ma 100 000 milionov suborov. Windows ma len 10 000 suborov. Odpovedať Známka: -2.5 Hodnotiť:

Re: verzia jadra s opravou Od: Ahasver | Pridané: 8.8.2018 11:03 Len? Si fakt exper. Ešte že si neuviedol iba jeden: ntoskrnl.exe Odpovedať Hodnotiť:

Re: verzia jadra s opravou Od: xvzf | Pridané: 7.8.2018 17:02 neviem ale fix je tu: https://is.gd/GanY3U Odpovedať Hodnotiť:

Re: verzia jadra s opravou Od: xvzf | Pridané: 7.8.2018 17:04 okej, tak napr. v debiane tu: security-tracker.debian.org/tracker/CVE-2018-5390 Odpovedať Známka: 10.0 Hodnotiť:

Re: verzia jadra s opravou Od: dziny1 | Pridané: 7.8.2018 18:13 Debian mal kernel update pred par dnami. Cudoval som sa preco lebo verzia zostala rovnaka 4.9.110. Odpovedať Známka: 10.0 Hodnotiť:

pozor!!! Od: ffdf | Pridané: 7.8.2018 18:18 Windows je možné na blízko vyradiť neefektívnym DoS útokom!!! Odpovedať Známka: 6.5 Hodnotiť:

Re: pozor!!! Od: prdlajs | Pridané: 7.8.2018 21:37 Win 10 sa vie vyradit aj sam. Kazdou vacsou aktualizaciou. Odpovedať Známka: 8.0 Hodnotiť:

2kpps neni 2kbps Od: chlmcan | Pridané: 7.8.2018 18:46 je trosku rozdiel medzi 2.000 packetov za sekundu a 2.000 bitov za sekundu ;-) opravte si clanok Odpovedať Známka: 8.0 Hodnotiť:

conato Od: peiks | Pridané: 7.8.2018 19:18 a co na to Linus Towards,alebo ako sa vola ?? Odpovedať Známka: -7.8 Hodnotiť:

Re: conato Od: Mxxl | Pridané: 7.8.2018 19:25 Ten to priekazne hodí na minulú vládu developerov pod vedením Ivety R. alebo to hodí na backdoory z dielne hackerov skupiny STE a hackerov zo skupiny N. Odpovedať Známka: -4.1 Hodnotiť:

Re: conato Od: Jamicon | Pridané: 7.8.2018 21:34 Nuž pohoda, Linux vydal obratom opravný Patch, M$ by to trvalo 90 dní do zverejnenia Googlom + pár týždňov(mesiacov[rokov]) Odpovedať Známka: 8.7 Hodnotiť:

Red Hat spracuva fix Od: Lathander | Pridané: 7.8.2018 22:16 Red Hat ma kernel 3.10 ak to nebackportoval tak sa ho ta zranitelnost moc netyka :) Odpovedať Známka: 0.0 Hodnotiť:

Re: Red Hat spracuva fix Od reg.: quix_ | Pridané: 8.8.2018 8:52 podla architektury, podla architektury ;) Odpovedať Hodnotiť:

Qwerttyu Od: Linuxqwrt | Pridané: 7.8.2018 22:25 Nechapem kto v dnesnej dobe pouziva este Linux, ked mas windows server. Nemas problem s nedotiahnutymi vecmi. Odpovedať Známka: -4.5 Hodnotiť:

Re: Qwerttyu Od: Foter Loter | Pridané: 8.8.2018 8:46 Take servery Google urcite nebezia na Windows Server, myslim, ze ani riadenie atomovych elektrarni, najvykonnejsie pocitace a pod. Odpovedať Známka: 10.0 Hodnotiť:

ničivý teoretik Od: syntaxterrorX. XX | Pridané: 8.8.2018 9:07 Onooo....riadenie atomovych elektrarni ale vobec nebezi na serveri a Windows su tak optimalizovane, ze pre beh najvykonnejsie pocitace jednoducho priekazne nepotrebuju. Odpovedať Známka: -6.0 Hodnotiť:

Re: Qwerttyu Od: Samo2 | Pridané: 8.8.2018 23:52 Tak väčšina SuperPC beží na Linux derivátoch, rakety napríkkad Falcon 9 a loď Dragon tiež linux ale bežné notebooky na palube ISS sú Win 7 a hlavný počítač ISS beží na nejakom custom OS. Linux je super v tom že si ho hocikto môže podľachuti upraviť pre svoje potreby Win je dobrý pre užívateľa bežného ktorému úplne vyhovuje. Odpovedať Hodnotiť:

Re: Qwerttyu Od: Klebetnik444 | Pridané: 9.8.2018 17:30 Atomka v jaslovskych ma win95 a idu Odpovedať Hodnotiť:

Re: Qwerttyu Od reg.: quix_ | Pridané: 8.8.2018 8:53 presne tak, na windowse nemas problem s nedotiahnutymi vecami ale rovno s kazdou aktualizaciou ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: Qwerttyu Od: 775665887547 | Pridané: 8.8.2018 10:05 Napríklad kozmická stanica ISS? Odpovedať Známka: 3.3 Hodnotiť:

Re: Qwerttyu Od: jhgkj | Pridané: 12.8.2018 8:28 Nedotiahnuté veci? Neviem, ktorý systém má už dlhé roky stabilný a hlavne funkčný mechanizmus balíčkov a ich aktualizácií a naopak, ktorý systém sa márne snaží vytvoriť "store", ale väčšina developerov naň zjavne zvysoka kašlú. Rovnako je rozdiel aktualizovať linux a win. V linuxe to zvládnem 2 príkazmi (keď ja chcem, nie keď mi to systém nanúti) a trvá to pár sekúnd až minút (v závislosti od množstva a veľkosti update-ov), narozdiel od Win (pri desktopoch), kde to trvá "pár" desiatok minút a vždy v tú najnevhodnejšiu dobu (ideálne tak o 8. ráno, keď má človek ísť pracovať alebo keď človek potrebuje rýchlo zavrieť notebook a odísť, ale win si povie, že teraz je tá najlepšia doba na aktualizáciu). :D (nie nepoužívam win na desktope, to bol len kedysi firemný) Odpovedať Hodnotiť:

Re: Qwerttyu Od: bnbnmmnb | Pridané: 14.8.2018 5:36 Koho to zaujma, kontent je na windowse... Inak mal som Kubuntu a aj po par aktualizaciach stale par aplikacii padalo ale aj tak suhlasim nanutene updaty su ZLO. Odpovedať Hodnotiť:

Pridať komentár