CVE-2019-11477：Linux 内核中TCP SACK机制远程Dos预警分析

栏目: 服务器 · 发布时间: 4年前

内容简介：2019年6月18日，RedHat官网发布报告：安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞，CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479，其中CVE-2019-11477漏洞能够降低系统运行效率，并可能被远程攻击者用于拒绝服务攻击，影响程度严重。360CERT 判断此次漏洞影响面广，危害严重，建议广大用户及时更新。

0x00 漏洞描述

2019年6月18日，RedHat官网发布报告：安全研究人员在 Linux 内核处理TCP SACK数据包模块中发现了三个漏洞，CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479，其中CVE-2019-11477漏洞能够降低系统运行效率，并可能被远程攻击者用于拒绝服务攻击，影响程度严重。

360CERT 判断此次漏洞影响面广，危害严重，建议广大用户及时更新。

漏洞细节

SACK(Selective ACK)是TCP选项，它使得接收方能告诉发送方哪些报文段丢失，哪些报文段重传了，哪些报文段已经提前收到等信息。根据这些信息TCP就可以只重传哪些真正丢失的报文段。需要注意的是只有收到失序的分组时才会可能会发送SACK，TCP的ACK还是建立在累积确认的基础上的。

Linux SKB 最多可以容纳17个片段：

linux/include/linux/skbuff.h
define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1)  => 17

每个片段在x86（PowerPC上为64KB）的数据中最多可容纳32KB，当数据包将被发送时，它被放置在发送队列中，它的详细信息保存在控制缓冲区结构中：

linux/include/linux/skbuff.h
struct tcp_skb_cb {
    __u32       seq;                    /* Starting sequence number */
    __u32       end_seq;    /* SEQ + FIN + SYN + datalen */
    __u32       tcp_tw_isn;
        struct {
                u16 tcp_gso_segs;
                u16 tcp_gso_size; 
        };
    __u8        tcp_flags;  /2* TCP header flags. (tcp[13])  */
    …
}

tcp_gso_segs用于记录数据包个数，类型为u16，最多记录65526个。但是SACK机制允许TCP在重传中合并多个SKB队列，从而填充17个片段到最大容量， 17 321024 /8 = 69632，造成tcp_gso_segs整数溢出，进而触发BUG_ON（）调用，导致内核崩溃。

static bool tcp_shifted_skb (struct sock *sk, …, unsigned int pcount, ...)
{
...
tcp_skb_pcount_add(prev, pcount);
BUG_ON(tcp_skb_pcount(skb) < pcount);   <= SACK panic
tcp_skb_pcount_add(skb, -pcount);
…
}

攻击者可以通过发送一系列特定的SACK包，触发内核模块的整数溢出漏洞，进而实行远程拒绝服务攻击。