SegmentSmackとは?原因と対策方法【追記】

Linuxカーネルのバージョン4.9以降で、DoS攻撃が行われる恐れのある脆弱性が見つかりました。脆弱性の名前はSegmentSmackといいます。

執筆時点ではLinuxのコア部のカーネルの修正のみとのことでしたが、更新プログラムの情報など追記しています。

目次

1. SegmentSmackとは

SegmentSmackとは、CVE-2018-5390のIDが振られた脆弱性です。DoS攻撃に利用されるおそれのあるLinuxカーネルの脆弱性です。
対象のRed Hat製品は以下です。

  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 7 for Real Time
  • Red Hat Enterprise Linux 7 for ARM64
  • Red Hat Enterprise Linux 7 for Power
  • Red Hat Enterprise Linux Atomic Host

ですので、CentOS7なども影響があります。カーネルのバージョン確認をしてみてください。

uname -r

2. SegmentSmackの懸念事項

Linuxの開発元のRedHadによると、リモート接続できる状態のTCP関連のポートがある場合、秒間2000パケットほどの負荷をあたえるDoS攻撃が行われる恐れがあります。4コアのCPUが飽和状態になるとのことです。偽装されたIPアドレスを使用して攻撃を実行することはできないとのことです。

3. SegmentSmackの原因

特別に細工されたTCPパケットを処理することにより、「tcp_collapse_ofo_queue()」および「tcp_prune_ofo_queue()」という、時間がかかる処理が実行され、CPUの飽和などを起こし、サービス不能を招く可能性があるとのことです。

4. SegmentSmackの対策方法

現時点では、カーネルの修正以外の効果的な回避策や緩和は公表されていませんとのことでしたが、更新プログラムが出てきました。

RHEL-7.5は「RHSA-2018:2384 – Security Advisory」、RHEL-7は「RHSA-2018:2395 – Security Advisory」が更新プログラムとのことです。

Security Fix(es):

A flaw named SegmentSmack was found in the way the Linux kernel handled specially crafted TCP packets. A remote attacker could use this flaw to trigger time and calculation expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() functions by sending specially modified packets within ongoing TCP sessions which could lead to a CPU saturation and hence a denial of service on the system. Maintaining the denial of service condition requires continuous two-way TCP sessions to a reachable open port, thus the attacks cannot be performed using spoofed IP addresses. (CVE-2018-5390)

以下の手順を参考に更新(yum update)してくださいとのことです。

https://access.redhat.com/articles/11258

この更新プログラムを有効にするには、システムを再起動する必要があります。

参考

Red Hatは、Bugzillaチケット1601704(Red Hat Bugzilla – Bug 1601704)を使用して修正を追跡しており、同チケットに以下のコメントがありました。

Vladis Dronov 2018-08-14 15:58:00 EDT
:
Yes, exactly, RHSA-2018:2384 is a security advisory and fixed for RHEL-7.5 which fixes SegmentSmack along with L1TF and other vulnerabilities.

errata-xmlrpc 2018-08-14 16:24:44 EDT
:
This issue has been addressed in the following products:

Red Hat Enterprise Linux 7

Via RHSA-2018:2395 https://access.redhat.com/errata/RHSA-2018:2395

参考URL

更新情報

2018年8月15日 修正プログラムの情報で解決方法のところを修正・追記しました。