Ingenieros de Netflix han descubierto 4 nuevas vulnerabilidades en Linux y FreeBSD que pueden hacer que un atacante cause denegación de servicio (DoS) en cualquier cpd que sea vulnerable, de éstas, 2 son muy graves, SACK Panic y SACK Slowness.
Los fallos encontrados están en el sistema de comunicaciones SACK, el cual recorre todo el cpd e informa de todos los paquetes enviados y recibidos correctamente, el fallo mas grave de los 4 lo han llamado SACK Panic (CVE-2019-11477) y este hace que un atacante externo pueda tumbar un servidor de forma remota, el servidor responde con un kernel panic y que inutilizado, como si hubiera recibido un ataque de denegación de servicio (DoS).
Otra vulnerabilidad descubierta, que recibe el nombre SACK Slowness (CVE-2019-11478), es menos grave que la primera, pero con esta se puede enviar paquetes SACK especiales que consiguen ralentizar el servidor, incluso pararlo, pareciendo un ataque (DoS).
Para corregir estos errores hay que actualizar el kernel, ya que este problema afecta a la versión 2.6 en adelante, otra manera de protegerse si no puedes actualizar el kernel es cambiando el valor de /proc/sys/net/ipv4/tcp_sack a cero, así SACK quedara deshabilitado. Más información.
¿Necesitas ayuda con tus sistemas TI? ¡Contacta con nosotros!