漏洞公布时间:2019-06-17
漏洞影响范围:CVE-2019-11477: SACK Panic (Linux >= 2.6.29)
漏洞概述: A sequence of SACKs may be crafted such that one can trigger an integer overflow, leading to a kernel panic.
漏洞详情:
首先要搞懂什么是SACK (Selective ACK) ,至于什么是ACK 自己看tcp 协议去搞懂吧
SACK 作用,用户Bob 告诉Alice 所有他已经成功收到的seg:1,2,4,6,8-13 ,所以为了减轻带宽、避免以后的堵塞情况,用户Alice 只需重传 seg:3,5,7
看下图比较容易理解
SKB 最大存储17 个fragment ,每个fragment 存储的字节量根据cpu架构有所不同,x86架构最大32k,x64架构最大64k
当seg 的offload 是开启状态的时候,SACK机制也会自动启用;由于数据包的丢失喝某些数据包的重传,SACK 可能最终持有多个数据包,数量根据“tcp_gso_segs”进行记录。
多个数据包在SACK 的列表中会合并成一个数据包来高效的处理多个SACK 块,这个过程中涉及到把数据从一个SKB 转移到列表中的另一个数据包中,在这个过程中SKB 会达到结果设计的最大值 17 fragments, “tcp_gso_segs” 参数也会造成溢出,使程序运行到BUG_ON() 函数,最终导致内核SACK Panic
远程用户可通过设置tcp连接中最大的seg 大小到48 byte 并且发送一些列的特制SACK 数据包引发这个漏洞。最小的MSS (最大的seg 大小) 只允许8 byte/seg ,因此会增加tcp seg 去重传所有的数据。
漏洞检测脚本
https://download.csdn.net/download/helloexp/11251168
文章参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11477
https://access.redhat.com/security/vulnerabilities/tcpsack