Netflix公司的一名工程师在Linux和FreeBSD中发现了许多以前不为人知的严重安全漏洞,这些漏洞可能使服务器容易遭受拒绝服务攻击以及其他形式的攻击。
周一,由Netflix信息安全公司的Jonathan Looney在GitHub上详细介绍了这一漏洞。其中最关键的一个漏洞被称为SACK Panic,是在2.6.29及更高版本的Linux系统中发现的,该漏洞将使攻击者远程引发内核混乱。
据Ars Technica介绍,SACK是一种选择性确认机制,它允许通信接收端的计算机通知发送方已成功发送了哪些数据段,以便重新发送丢失的数据段。在这种情况下,攻击者可以将特制的代码发送到运行Linux的服务器,而这种行为很有可能会导致内核崩溃。
Senseon首席执行官David Atkinson表示:“在最坏的情况下,黑客可以利用这个漏洞来摧毁任何使用Linux的企业服务,在修补之前,数以百万计的公司和产品都很脆弱。这也增加了民族国家联合攻击的风险。目前,至少有800万面向公众的服务在使用Linux系统。”
另外连个漏洞被称为SACK Slow,4.15及更高版本的Linux以及使用RACK TCP Stack的FreeBSD 12都存在这种漏洞。顾名思义,攻击者可以编写破坏数据队列的代码,从而导致目标系统的速度变慢。
第四个漏洞存在于所有版本的Linux。它使得攻击者强制Linux内核对其响应进行分段。这增加了传输相同数量数据所需的带宽,同时也消耗了额外的处理能力。在这种情况下“由于MSS值较低导致资源消耗过多”。
强烈建议那些运行Linux或FreeBSD 12的人应用补丁来解决这些漏洞。这些补丁可以在GitHub上找到。