Linux e la vulnerabilità SACK Panic: disponibili le patch

Un buon numero di macchine Linux e FreeBSD sono vulnerabili a una falla (denial of service) battezzata SACK Panic (che sta per Selective ACK – conferma selettiva). Le criticità sono note con gli identificativi CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 e CVE-2019-11479 .

Questa serie di vulnerabilità sono state svelate dal security team di Netflix attraverso un post su GitHub da parte di Jonathan Looney.

SACK Panic

La falla riguarda il trasferimento via TCP. A causa di lacune nella gestione della memoria nelle funzionalità Selective Acknowledgement (SACK) dello stack-TCP di sistema, un cybercriminale può causare gravi rallentamenti, disservizi e crash di sistema inviando una particolare sequenza di pacchetti al bersaglio.

Talvolta è possibile compromettere le informazioni causando un kernel panic, bloccando completamente il sistema. Questa problematica riguarda una feature introdotta a partire dal kernel 2.6.29: tutte le versioni successive sono colpite dal problema.

Va detto che il rischio per quanto riguarda gli utenti domestici è pressochè nullo: solo i servizi direttamente esposti in rete possono essere colpiti.

Apposite patch di sicurezza sono state rilasciate dai principali vendor di distro GNU/Linux: Canonical, Red-Hat, SuSE, Oracle, Amazon, Debian.

Se la vostra distribuzione non fosse ancora stata aggiornata potete disattivare a livello di kernel la funzionalità SACK mediante il seguente comando:

echo 0 > /proc/sys/net/ipv4/tcp_sack

Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

• Linux
• SACK
• SACK Panic