La más grave de las tres vulnerabilidades podría permitir que un atacante remoto cause una falla en el Kernel en los sistemas que ejecutan un paquete afectado y por lo tanto, afecte la estabilidad del sistema.
Red Hat explicó ayer que se han detectado tres fallas relacionadas en el manejo del Kernel de Linux de paquetes SACK (reconocimiento selectivo TCP) con un tamaño de MSS bajo.
La magnitud del impacto se supone que se limita a la denegación de servicio por el momento. Actualmente no se sospecha ninguna elevación de privilegios o fuga de información para las tres vulnerabilidades.
Sobre las vulnerabilidades
La compañía citó tres vulnerabilidades, CVE-2019-11477, CVE-2019-11478 y CVE-2019-11479. CVE-2019-11477 que se consideran una severidad significativa, mientras que CVE-2019-11478 y CVE-2019-11479 se consideran severidad moderada.
Las dos primeras vulnerabilidades están relacionadas con los paquetes de reconocimiento selectivo (SACK) combinados con el tamaño máximo de segmento (MSS) y la tercera solo se relaciona con el tamaño máximo de segmento (MSS).
El reconocimiento selectivo TCP (SACK) es un mecanismo mediante el cual el destinatario de los datos puede informar al remitente de todos los segmentos aceptados.
Esto permite al remitente retransmitir los segmentos de la secuencia que están ausentes de su conjunto de “productos conocidos”. Cuando TCP SACK está deshabilitado, se requiere un conjunto mucho mayor de retransmisiones para retransmitir una secuencia completa.
El tamaño máximo del segmento (MSS) es un parámetro definido en el encabezado TCP de un paquete que especifica la cantidad total de datos contenidos en un segmento TCP reconstruido.
Debido a que los paquetes pueden fragmentarse durante la transmisión en diferentes rutas, un host debe especificar el MSS como igual al mayor tamaño de carga útil de datagramas IP que un host puede manejar.
Los tamaños muy grandes de MSS pueden significar que un flujo de paquetes termina siendo fragmentado a medida que se mueve hacia el destino, mientras que los paquetes más pequeños pueden garantizar una menor fragmentación, pero dan como resultado una sobrecarga no utilizada.
Los sistemas operativos y los tipos de transporte pueden usar los tamaños de MSS especificados de forma predeterminada.
Los atacantes con acceso privilegiado pueden crear paquetes sin formato con opciones MSS especialmente diseñadas para este ataque.
Cada segmento TCP tiene un número de secuencia (SEQ) y un número de recibo (ACK). Estos números de SEQ y ACK se utilizan para determinar qué segmentos ha sido recibido con éxito por el receptor. El número de ACK indica el siguiente segmento esperado por el destinatario. Red Hat proporcionó un ejemplo para entender esto.
Distribuciones afectadas
Red Hat tiene una larga lista de productos afectados por estas tres vulnerabilidades. La lista de los productos principalmente afectados es la siguiente:
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- Red Hat Atomic Host
- Red Hat Enterprise MRG 2
- Red Hat OpenShift Container Platform 4 (RHEL CoreOS)
- Red Hat OpenShift en línea
- Red Hat OpenShift Dedicado (y servicios dependientes)
- OpenShift en Azure (ARO)
- Red Hat OpenStack Platform (kernel de imágenes de envío)
- Red Hat Virtualización (RHV-H)
Productos afectados de forma secundaria:
- Red Hat Virtualization (RHV)
- Plataforma OpenStack de Red Hat
- Red Hat OpenShift Container Platform 3
Según la compañía, aunque las vulnerabilidades del kernel no afectan directamente a los contenedores de Red Hat Linux, su seguridad se basa en la integridad del entorno del kernel del host.
Red Hat recomienda que uses las últimas versiones de las imágenes de tus contenedores. El Índice de estado del contenedor, que forma parte del catálogo de contenedores de Red Hat, todavía se puede utilizar para determinar el estado de seguridad de los contenedores de Red Hat.
Para proteger la confidencialidad de los contenedores usados, debe asegurarse de que el host del contenedor (como Red Hat Enterprise Linux, CoreOS o Atomic host) se haya actualizado para estos ataques.
En el kernel de Linux, los problemas se corrigen en las versiones 4.4.182, 4.9.182, 4.14.127, 4.19.52 y 5.1.11