ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix เปิดเผยช่องโหว่เคอร์เนลลินุกซ์และ FreeBSD 4 รายการที่เกี่ยวข้องกับฟีเจอร์ minimum segmentation size (MSS) และ TCP Selective Acknowledgement (SACK) ในโปรโตคอล TCP
ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2019-11477 หรือ SACK Panic ที่คนร้ายสามารถเปิดการเชื่อมต่อด้วยค่า MSS ระดับต่ำสุด และยิง SACK ด้วยลำดับที่ออกแบบมาเฉพาะทำให้เคอร์เนลลินุกซ์ panic ไปได้ทันที ช่องโหว่นี้กระทบเคอร์เนลลินุกซ์ตั้งแต่เวอร์ชั่น 2.6.29 ที่ออกตั้งแต่ปี 2009 เป็นต้นมา
ทางแก้คือการแพตช์เคอร์เนล หรือปิดฟีเจอร์ SACK ผ่านทาง /proc/sys/net/ipv4/tcp_sack
ช่องโหว่อื่นๆ แม้จะไม่ทำให้เครื่องแครช แต่ก็ทำให้การเชื่อมต่อกินทรัพยากรสูงกว่าปกติ ได้แก่ CVE-2019-11478 กระทบลินุกซ์เวอร์ชั่นต่ำกว่า 4.15, CVE-2019-5599 กระทบ FreeBSD 12, และ CVE-2019-11479 กระทบลินุกซ์เช่นกัน
ตอนนี้ Red Hat ออกแพตช์สำหรับช่องโหว่เหล่านี้แล้ว, Amazon เองก็ประกาศอัพเดตเคอร์เนลของ Amazon Linux AMI แล้วเช่นกัน ทุกคนควรอัพเดตโดยเร็วหรือปิดฟีเจอร์ตามที่วิศวกร Netflix แนะนำ
ที่มา - Netflix: Security Bulletin 2019-001, Red Hat, Amazon, The Register
ภาพโดย iAmMrRob
Comments
โอ้โหงานงอก devops
งามไส้
วิศวกร NETFLIX ช่วยอุดช่องโหว่ของตัวเองด้วยก็ดีนะครับ
เหมือน Account จะหลุดง่ายไปหน่อยนะครับ
เอ่า ไหงมาเรื่องนี้ได้ล่ะนั่น
user error ส่วนหนึ่ง
แก้ปัญหาที่ดูใน PC แล้ว error ก่อนดีไหมครับ
แถมไม่ยอม stream แบบ HD ด้วยนะ