neprihlásený Pondelok, 7. júla 2025, dnes má meniny Oliver
Pozor, Linux je možné na diaľku vyradiť efektívnym DoS útokom

Značky: bezpečnosťLinux

DSL.sk, 7.8.2018


V jadre operačného systému Linux sa nachádza bezpečnostná zraniteľnosť, ktorá umožňuje útočníkom efektívne odstaviť cez Internet sieťový linuxový server, PC, router alebo iné zariadenie DoS útokom s otvoreným ľubovoľným TCP/IP portom.

V pondelok na zraniteľnosť označenú SegmentSmack upozornil americký CERT zriadený pri Carnegie Mellon University, na konci júla ju identifikoval Juha-Matti Tilli z Aalto University a Nokia Bell Labs.

Zraniteľnosť sa nachádza v implementácii sieťového protokolu TCP/IP a vďaka nej môže útočník malými paketmi špecifickej podoby spôsobiť volanie funkcií tcp_collapse_ofo_queue() a tcp_prune_ofo_queue() spôsobom veľmi náročným na výkon CPU pre každý prichádzajúci paket. Volanie týchto funkcií môže byť tak náročné na výkon, že útok je mimoriadne efektívny a pomocou malého dátového pásma je možné efektívne úplne odstaviť napríklad internetové servery.

Konkrétne podľa oznámenia Red Hatu je možné Linux odstaviť pomocou útoku majúceho menej ako 2 Kpps, teda dvetisíc paketov za sekundu, nie je jasné stroj s koľkými logickými jadrami je možné takto odstaviť respektíve či ide o dátový tok útoku na jedno jadro. V každom prípade na odstavenie jedného jadra evidentne stačí jedno TCP/IP spojenie, keď Red Hat ilustruje odstavenie stroja so štyrmi CPU pomocou štyroch spojení.

Menším obmedzením útoku je, že pre trvalý útok musí útočník reálne nadviazať TCP/IP spojenie a útok tak nie je možný pomocou paketov s podvrhnutými zdrojovými IP adresami. Pri dnešnom bežnom rozšírení botnetov to ale zrejme nepredstavuje veľké obmedzenie.

Zraniteľnosť je prítomná v jadre počnúc verziou 4.9 vydanou v decembri 2016 a podľa Red Hatu na zabránenie útoku nie sú k dispozícii žiadne aplikovateľné opatrenia okrem nainštalovania opravenej verzie jadra. Záplata je k dispozícii už od konca júla, linuxové distribúcie vrátane Red Hatu ju aktuálne zapracúvajú.


      Zdieľaj na Twitteri



Najnovšie články:

Predaj zariadení nositeľných na zápästí výrazne rastie
V Česku boli bez elektriny milióny ľudí, pretrhnutie 400 kV vedenia spôsobilo ďalšie udalosti
Používanosť Windows 11 sa údajne dotiahla na Windows 10
Česko zasiahol rozsiahly výpadok elektrickej energie
Let’s Encrypt vydala prvý certifikát pre IP adresu
97% nových áut v Nórsku je čistých elektromobilov, dominuje Tesla
O2 mierne zlepšilo pokrytie 5G, už má byť pre 93% ľudí
Časť smartfónov Pixel 6a má problémy s batériou, Google ju bude obmedzovať a vymieňať
Microsoft oznámil ďalšie väčšie prepúšťanie, chce znížiť počet vrstiev manažmentu
SpaceX zničila v poslednom období stovky Starlink satelitov


Diskusia:
                               
 

Zlaty windows...
Odpovedať Známka: -3.3 Hodnotiť:
 

wanna cry? :D
Odpovedať Známka: 7.3 Hodnotiť:
 

wanna DoS cez mokrý špagát? :D
Odpovedať Známka: 6.4 Hodnotiť:
 

wanna half ?
Odpovedať Známka: 2.0 Hodnotiť:
 

want sum fuk?
Odpovedať Známka: 6.7 Hodnotiť:
 

Windows namiesto toho, aby spadol, ťa rovno pustí do systému. B-)
Odpovedať Známka: 5.7 Hodnotiť:
 

Windows stanice musia byť za blade serverom. Prečo? Je jasné z povahy vecí.
Odpovedať Známka: 0.0 Hodnotiť:
 

ako to myslis? ze v datacentre mozu byt windowsy iba za rackom s bladeami?
Odpovedať Známka: 8.3 Hodnotiť:
 

Mnoo.... cholerik sa bude za flegmatika skryvat priekazne zbytocne.
Odpovedať Známka: -3.8 Hodnotiť:
 

blade, ten lovec upirov?
Odpovedať Známka: 4.5 Hodnotiť:
 

wanna be? :D
Odpovedať Známka: -5.0 Hodnotiť:
 

ako je na tom freebsd?
Odpovedať Známka: 6.5 Hodnotiť:
 

Freebsd nikto nepouziva ani na serveroch, takze tvoja otazka je zbytocna :D
Odpovedať Známka: -2.7 Hodnotiť:
 

By si sa čudoval. Normálne napríklad i taký XigmaNAS (bývalý NAS4Free, FreeNAS) sa dá používať ako server celkom v pohode aj na také to domáce žuvanie. A to je postavený na FreeBSD :)
https://dopice.sk/lMr
Aj v práci kolega admin na moje odporúčanie na tom postavil jeden stroj na špecifické vnútropodnikové riešenie.
Odpovedať Známka: 4.3 Hodnotiť:
 

ľutujem toho čo to bude spravovať po ňom
Odpovedať Známka: -0.5 Hodnotiť:
 

ak to bude rychlokvaska, ktora vyrastala na windowse a bez klikacieho windows-like prostredia sa ani nevyserie, tak ano...

profici, ako teta Viera, by vam tie vase farebnie obraztoke najradsej zakazali.
Odpovedať Známka: 4.0 Hodnotiť:
 

Podľa tvojho komentu usudzujem že nemáš šajnu ako jednoducho a ľahko sa NAS4Free spravuje.
Odpovedať Známka: 7.8 Hodnotiť:
 

Ospravedlňujem sa.. pozriel som si k tomu dokumentáciu a nevyzerá to zle. vyskúšam. (a nabudúce si dám pozor čo napíšem do diskusie)
Odpovedať Známka: 10.0 Hodnotiť:
 

my mame asi 30 serverov na FreeBSD, a presne 0 na linuxe :D
takze nehovoril by som, ze sa to nepouziva :)
Odpovedať Známka: 6.7 Hodnotiť:
 

Presne tak. Skvelou mnemotechnickou pomockou na spracovanie rozdielu medzi mat a pouzivat je priekazne mozog.
Odpovedať Známka: -4.5 Hodnotiť:
 

freebsd je na tom rovnako

https://dopice.sk/lMw
Odpovedať Známka: 10.0 Hodnotiť:
 

vie niekto v ktorej verzii jadra to je uz opravené ??
Odpovedať Známka: 6.9 Hodnotiť:
 

Windows 10
Odpovedať Známka: 3.8 Hodnotiť:
 

srandista :-)
Odpovedať Známka: 7.1 Hodnotiť:
 

Naprogramovat Linux je zlozitejsie, lebo ma 100 000 milionov suborov. Windows ma len 10 000 suborov.
Odpovedať Známka: -2.5 Hodnotiť:
 

Len? Si fakt exper. Ešte že si neuviedol iba jeden: ntoskrnl.exe
Odpovedať Hodnotiť:
 

neviem ale fix je tu: https://is.gd/GanY3U
Odpovedať Hodnotiť:
 

okej, tak napr. v debiane tu: security-tracker.debian.org/tracker/CVE-2018-5390
Odpovedať Známka: 10.0 Hodnotiť:
 

Debian mal kernel update pred par dnami. Cudoval som sa preco lebo verzia zostala rovnaka 4.9.110.
Odpovedať Známka: 10.0 Hodnotiť:
 

Windows je možné na blízko vyradiť neefektívnym DoS útokom!!!
Odpovedať Známka: 6.5 Hodnotiť:
 

Win 10 sa vie vyradit aj sam. Kazdou vacsou aktualizaciou.
Odpovedať Známka: 8.0 Hodnotiť:
 

je trosku rozdiel medzi 2.000 packetov za sekundu a 2.000 bitov za sekundu ;-) opravte si clanok
Odpovedať Známka: 8.0 Hodnotiť:
 

a co na to Linus Towards,alebo ako sa vola ??
Odpovedať Známka: -7.8 Hodnotiť:
 

Ten to priekazne hodí na minulú vládu developerov pod vedením Ivety R. alebo to hodí na backdoory z dielne hackerov skupiny STE a hackerov zo skupiny N.
Odpovedať Známka: -4.1 Hodnotiť:
 

Nuž pohoda, Linux vydal obratom opravný Patch, M$ by to trvalo 90 dní do zverejnenia Googlom + pár týždňov(mesiacov[rokov])
Odpovedať Známka: 8.7 Hodnotiť:
 

Red Hat ma kernel 3.10 ak to nebackportoval tak sa ho ta zranitelnost moc netyka :)
Odpovedať Známka: 0.0 Hodnotiť:
 

podla architektury, podla architektury ;)
Odpovedať Hodnotiť:
 

Nechapem kto v dnesnej dobe pouziva este Linux, ked mas windows server. Nemas problem s nedotiahnutymi vecmi.
Odpovedať Známka: -4.5 Hodnotiť:
 

Take servery Google urcite nebezia na Windows Server, myslim, ze ani riadenie atomovych elektrarni, najvykonnejsie pocitace a pod.
Odpovedať Známka: 10.0 Hodnotiť:
 

Onooo....riadenie atomovych elektrarni ale vobec nebezi na serveri a Windows su tak optimalizovane, ze pre beh najvykonnejsie pocitace jednoducho priekazne nepotrebuju.
Odpovedať Známka: -6.0 Hodnotiť:
 

Tak väčšina SuperPC beží na Linux derivátoch, rakety napríkkad Falcon 9 a loď Dragon tiež linux ale bežné notebooky na palube ISS sú Win 7 a hlavný počítač ISS beží na nejakom custom OS. Linux je super v tom že si ho hocikto môže podľachuti upraviť pre svoje potreby Win je dobrý pre užívateľa bežného ktorému úplne vyhovuje.
Odpovedať Hodnotiť:
 

Atomka v jaslovskych ma win95 a idu
Odpovedať Hodnotiť:
 

presne tak, na windowse nemas problem s nedotiahnutymi vecami ale rovno s kazdou aktualizaciou ;)
Odpovedať Známka: 10.0 Hodnotiť:
 

Napríklad kozmická stanica ISS?
Odpovedať Známka: 3.3 Hodnotiť:
 

Nedotiahnuté veci? Neviem, ktorý systém má už dlhé roky stabilný a hlavne funkčný mechanizmus balíčkov a ich aktualizácií a naopak, ktorý systém sa márne snaží vytvoriť "store", ale väčšina developerov naň zjavne zvysoka kašlú. Rovnako je rozdiel aktualizovať linux a win. V linuxe to zvládnem 2 príkazmi (keď ja chcem, nie keď mi to systém nanúti) a trvá to pár sekúnd až minút (v závislosti od množstva a veľkosti update-ov), narozdiel od Win (pri desktopoch), kde to trvá "pár" desiatok minút a vždy v tú najnevhodnejšiu dobu (ideálne tak o 8. ráno, keď má človek ísť pracovať alebo keď človek potrebuje rýchlo zavrieť notebook a odísť, ale win si povie, že teraz je tá najlepšia doba na aktualizáciu). :D (nie nepoužívam win na desktope, to bol len kedysi firemný)
Odpovedať Hodnotiť:
 

Koho to zaujma, kontent je na windowse...

Inak mal som Kubuntu a aj po par aktualizaciach stale par aplikacii padalo

ale aj tak suhlasim nanutene updaty su ZLO.
Odpovedať Hodnotiť:

Pridať komentár