Linux内核af_packet内存DDoS防御破坏漏洞(CVE-2020-14386)-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Linux内核af_packet内存DDoS防御破坏漏洞(CVE-2020-14386)

Linux内核af_packet内存DDoS防御破坏漏洞(CVE-2020-14386)

小墨安全管家 2020-09-25 20:20 CC防护 89 ℃
DDoS防御

升级内核版本,安全版本的链接如下:

3. https://seclists.org/oss-sec/2020/q3/att-146/0001-net-packet-fix-overflow-in-tpacket_rcv.patch

Linux内核af_packet内存DDoS谨防破坏漏洞(CVE-2020-14386)

经过禁用CAP_NET_RAW能够暂时缓解该漏洞,想法如下:

1. https://github.com/torvalds/linux/commit/8913336a7e8d56e984109a3137d6c0e3362596a4

unsigned short类型变量macoff(对应数据链路层的偏移)和netoff(对应网络层的偏移)在收到回环网卡的原始套接字数据包时,按照以上方式赋值。其中类型为数据报套接字(用于UDP)时两者的值都为数据包头部长度+16,否则将netoff赋值为数据包头部长度+16和maclen中较大的一具,在po->has_vnet_hdr存在(即存在虚拟网络,如NAT等)时加上其大小,再将macoff赋值为netoff减去mac头部的值(即减去数据链路层头部)。那个地点计算netlen时,大概浮上传入的长度异常而导致上溢,此后计算macoff时,将会计算出不正常的结果。

2. https://www.openwall.com/lists/oss-security/2020/09/03/3

Linux内核af_packet内存DDoS谨防破坏漏洞(CVE-2020-14386)

3 阻碍范围

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06

setcap cap_net_raw-ep /bin/ping

2020/9/3 Oh Cohen公布对于该漏洞的讲明

6 参考链接

5 时刻轴

sudo apt-get install linux-generic-lts-xenial linux-image-generic-lts-xenial (ubuntu,debian等系统使用)

4.1 检测方案

Linux Kernel是由 Linus Torvalds最初开辟的开源的操作系统内核。实现了包括CPU、进程、内存、文件系统等核心模块,被广泛移植到Alpha、arc、arm、ia64、mips、powerpc、sparc、x86-64等很多体系结构上。目前多用于各种服务器和物联网终端等,也可在桌面终端使用Linux。

该漏洞触发时需要本地低权限用户执行其具有执行权限的可执行文件,并且系统启用CAP_NET_RAW功能。CAP_NET_RAW是一种允许使用原始套接字的设置。

4.3 暂时修复方案

1 Linux Kernel介绍

yum -y update kernel (CentOS,RedHat等系统使用)

4.2 修复方案

Linux内核af_packet内存DDoS谨防破坏漏洞(CVE-2020-14386)

Linux内核af_packet内存DDoS谨防破坏漏洞(CVE-2020-14386)

4 解决方案

cat /proc/version

当执行virtio_net_hdr_from_skb函数时,该函数依照参数中的数值申请缓冲区,那个地点用到了macoff这一数值。从而分配异常长度的缓冲区,大概造成越界写从而浮上容器逃逸,权限提升等。

或使用命令升级:

2 漏洞分析

分析补丁能够发觉,补丁将netoff变量的类型改为了unsigned int,同时推断了该值是否大于unsigned_short的最大值,如过大则丢弃内存中的数据包,从而不大概导致内存破坏。

2020/9/23 深信服千里目安全实验室公布漏洞分析文章

输入以下命令查看本机的内核版本

如显示的Linux version大于4.6且小于5.9,则漏洞大概存在。

Linux kernel 4.6-5.9rc4

漏洞位于net/packet/af_packet.c文件,该文件参与Linux的TCP/IP协议套件实现中的原始数据包套接字。


DDoS防御

当前位置:主页 > CC防护 > Linux内核af_packet内存DDoS防御破坏漏洞(CVE-2020-14386)

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119