Auf den Github-Seiten von Netflix hat ein Entwickler mehrere Sicherheitslücken in den Kerneln von Linux und FreeBSD gepostet. Die Advisorys sind teils als kritisch gekennzeichnet, weil sich die Lücken remote ausnutzen lassen.
Der überwiegende Teil der vier Lücken steckt in der TCP-Funktion Selective Acknowledgement (SACK). Als schwerwiegendste ist die als SACK-Panic getaufte Lücke (CVE-2019-11477) genannt. Mit ihr lässt sich der Kernel zum Absturz bringen, indem man spezielle TCP-Pakete schickt. Die SACK-Funktion soll eigentlich die TCP-Verbindungen entlasten, indem sie bei fehlerhaften Verbindungen nur den fehlenden Teil der Pakete anfordert. Der dafür vorgesehene Puffer lässt sich zum Überlaufen bringen, was zum Absturz führt. Dieser allerdings läuft kontrolliert ab, der Angreifer kann also keine weiteren Aktionen ausführen und etwa Speicher überschreiben. Exploits gibt es derzeit anscheinend noch nicht.
Weitere Lücken sind weniger gravierend und führen, nicht zu einem Absturz. Sie verlangsamen aber die Systeme, eine davon auch bei FreeBSD.
Für die von Netflix aufgeführten Lücken existieren Patches. Außerdem gibt es Workaurounds, sollte ein Patchen nicht spontan möglich sein.
