La vulnérabilité CVE-2019-11477, ou SACK pour Selective Acknowledgement, reconnaissance sélective, menace tout système Linux, du serveur à l’ordinateur, de l’appareil de réseau à l’objet connecté, de plantage.
Ou presque : à partir du noyau 2.6.29, publié il y a une dizaine d’années, et avec un ou plusieurs ports TCP/IP ouverts.
Découverte part Jonathan Looney de Netflix, elle est causée parce que la reconnaissance sélective est activée par défaut.
Avec des paquets spécialement construits, on peut envoyer des réponses SACK qui occasionneront un débordement sur un entier, et donc une panique du noyau.
Trois autres vulnérabilités sont liées : CVE-2019-11478, qui rend toute version de Linux avec un noyau < 4.15 susceptible de ralentir fortement le système, et CVE-2019-5599, la vulnérabilité équivalente sous FreeBSD 12.
Enfin CVE-2019-11479, qui affecte toutes les versions de Linux, permet à un attaquant d’augmenter drastiquement la bande passante nécessaire à la réception d’un montant de données.
Pour chaque vulnérabilité,il existe un correctif et une ou plusieurs solutions de contournement. Voire les détails sur https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md.