Sophos UTM/XG, TCP SACK PANIC CVE-2019-11477…

Sophos UTM/XG sind unter anderem von der TCP SACK Panic-Lücke betroffen. Diese und weitere Sicherheitsprobleme haben Netflix-Entwickler im Netzwerk-Stack von Linux und FreeBSD-Kerneln aufgedeckt. CVE-2019-11477 kann dazu genutzt werden, einen Kernel Panic aus der Ferne auszulösen.

Das genaue technische Problem ist in diesem Artikel beschrieben: TCP SACK PANIC – Kernel vulnerabilities – CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479.

Derzeit arbeitet Sophos an einem Maintenance-Release. Folgende Workarounds werden uns zur Verfügung gestellt:

Sophos UTM

Update: Sophos fixt die Schwachstelle mit UTM 9.604-2.

Workaround 1) Begrenzung der MSS-Größe: Dieser Workaround entschärft alle drei CVE-Schwachstellen. Ein Nebeneffekt dieser Änderung ist, dass sie den legitimen Datenverkehr stören kann, der auf niedrigen MSS-Werten basiert.

echo "net.ipv4.tcp_mtu_probing = 0" >> /etc/sysctl.conf
sysctl -p

Fügt die folgende Zeile zu /var/mdw/etc/iptables/iptable.filter nach (:USR_OUTPUT – [0:0]) nach Zeile 29 für UTM v9.603 hinzu:

-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Workaround 2) Deaktivierung selektiver ACK: Dieser Workaround mildert nur CVE-2019-11477 und CVE 2019-114789. Ein Nebeneffekt dieser Änderung ist, dass das Deaktivieren von SACK im Falle eines Paketverlustes zu einer Leistungseinbuße führen kann.

echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
sysctl -p

Sophos XG

Update: Sophos fixt die Schwachstelle mit SFOS 17.5 MR 7.

Das Deaktivieren von SACK kann die Leistung im Falle eines Paketverlustes auch bei XG beeinträchtigen. Meldet Euch bei der Konsole an und wählt Option 4 aus.

set advanced-firewall tcp-selective-acknowledgement off

Weitere Informationen findet Ihr im folgenden Advisory: TCP SACK PANIC kernel vulnerability. Für UTM und XG wird es vermutlich Anfang/Mitte Juli einen Fix in der Firmware UTM 9.604 bzw. SFOS 17.5 MR 7 geben.

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 3 Kommentare

  1. Weiß jemand, ob auch XG von der Sicherheitsproblem betroffen ist?

    1. Moin!

      Ja, auch XG und weitere Produkte (siehe Advisory) sind betroffen. Ich habe den Artikel aktualisiert!

  2. Anfang July soll ein Fix kommen? Dann warte ich solange.

Schreibe einen Kommentar

Menü schließen