As vulnerabilidades CVE-2026-5265 e CVE-2026-5367 no Open vSwitch (OVN) podem expor dados sensíveis da memória do seu servidor SUSE. Este guia permanente ensina como identificar, corrigir e mitigar o problema com comandos práticos, script de automação e medidas alternativas — independentemente da data do aviso.
O que aconteceu (contexto histórico)
Em 19 de junho de 2026, a SUSE publicou o aviso SUSE-SU-2026:2463-1, classificando como importante uma atualização para o openvswitch que resolve duas vulnerabilidades de heap over-read (leitura de memória além do buffer):
CVE-2026-5265 (CVSS 7.5): um heap over-read na geração de respostas de erro ICMP. Um atacante pode enviar um pacote IP curto com o campo de comprimento inflado, fazendo com que o ovn-controller leia memória além dos dados válidos e inclua esse conteúdo na resposta ICMP enviada de volta à VM.
CVE-2026-5367 (CVSS 8.6 segundo NVD): um heap over-read no processamento do Client ID em pacotes DHCPv6. Um atacante remoto pode enviar um pacote DHCPv6 SOLICIT com o campo Client ID inflado, fazendo com que o ovn-controller copie memória além do pacote válido e devolva informações sensíveis ao atacante.
Produtos afetados incluem SUSE Linux Enterprise Server 15 SP7, SUSE Linux Enterprise Desktop 15 SP7, SUSE Linux Enterprise Real Time 15 SP7, Server Applications Module 15-SP7 e SUSE Package Hub 15 15-SP7.
Como verificar se você está vulnerável
Antes de aplicar qualquer correção, descubra se seu ambiente SUSE está exposto.
Verifique a versão do Open vSwitch instalada
ovs-vswitchd --version
Consulte os pacotes openvswitch instalados
rpm -qa | grep openvswitch
Verifique se o OVN (Open Virtual Network) está em uso
O OVN é o componente afetado. Descubra se ele está ativo:
systemctl status ovn-controller
Se o serviço estiver em execução, seu ambiente pode estar vulnerável.
Teste de forma controlada (ambiente de homologação)
Em um ambiente de teste, você pode simular o cenário da CVE-2026-5265 enviando um pacote ICMP com comprimento IP inflado contra uma ACL que gere erro ICMP. Já para a CVE-2026-5367, um pacote DHCPv6 SOLICIT com Client ID de tamanho anormal pode ser utilizado. Não realize esses testes em produção.
Script de automação para aplicar a correção
O script abaixo é compatível com SUSE Linux Enterprise 15 SP7 e derivados. Ele verifica a versão atual, aplica a atualização via zypper e reinicia os serviços necessários.
#!/bin/bash # Script de correção automática para CVE-2026-5265 e CVE-2026-5367 no SUSE # Compatível com SUSE Linux Enterprise 15 SP7 e produtos relacionados set -e echo "=== Verificando versão atual do Open vSwitch ===" ovs-vswitchd --version echo "=== Aplicando atualização de segurança via zypper ===" # Para Server Applications Module 15-SP7 zypper in -t patch SUSE-SLE-Module-Server-Applications-15-SP7-2026-2463=1 # Para SUSE Package Hub 15 15-SP7 (se aplicável) zypper in -t patch SUSE-SLE-Module-Packagehub-Subpackages-15-SP7-2026-2463=1 echo "=== Verificando pacotes atualizados ===" rpm -qa | grep openvswitch echo "=== Reiniciando serviços afetados ===" systemctl restart ovn-controller systemctl restart ovn-northd systemctl restart openvswitch echo "=== Versão após a atualização ===" ovs-vswitchd --version echo "=== Correção aplicada com sucesso! ==="
Como usar: salve o script como fix-openvswitch.sh, torne-o executável (chmod +x fix-openvswitch.sh) e execute como root ou com sudo.
Observação: os comandos zypper in -t patch são os recomendados pela SUSE para esta atualização. Caso seu produto não seja o Server Applications Module 15-SP7, consulte a lista de comandos específicos no aviso original.
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://link.amazon/B0gMOJEFt
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Mitigação alternativa caso não possa atualizar agora
Se você não puder aplicar a atualização imediatamente, algumas medidas podem reduzir o risco:
1. Bloqueio de pacotes maliciosos via iptables/nftables
Para a CVE-2026-5265 (ICMP), você pode restringir pacotes ICMP com campos de comprimento suspeitos. Embora não seja uma solução completa, ajuda a reduzir a superfície de ataque:
# Limitar taxa de pacotes ICMP (exemplo) iptables -A INPUT -p icmp --icmp-type 3 -m limit --limit 1/second -j ACCEPT iptables -A INPUT -p icmp --icmp-type 3 -j DROP
Para a CVE-2026-5367 (DHCPv6), considere bloquear ou limitar pacotes DHCPv6 vindos de fontes não confiáveis:
# Bloquear DHCPv6 de interfaces não confiáveis ip6tables -A INPUT -p udp --dport 546 -j DROP ip6tables -A INPUT -p udp --dport 547 -j DROP
Atenção: essas regras podem impactar funcionalidades legítimas de rede. Teste em homologação antes de aplicar em produção.
2. Uso de AppArmor para restringir o ovn-controller
O SUSE utiliza AppArmor como sistema de controle de acesso. Você pode criar um perfil mais restritivo para o ovn-controller:
# Verificar se o perfil AppArmor está ativo aa-status | grep ovn-controller # Editar o perfil em /etc/apparmor.d/ para adicionar restrições # Depois, recarregar: apparmor_parser -r /etc/apparmor.d/usr.sbin.ovn-controller
Consulte a documentação do AppArmor para criar regras que limitem o acesso do processo a áreas sensíveis da memória.
3. Isolamento de redes e VMs
- Coloque VMs que executam serviços críticos em redes isoladas (VLANs separadas).
- Utilize firewalls de perímetro para filtrar tráfego ICMP e DHCPv6 de origens não autorizadas.
- Monitore logs do ovn-controller em busca de padrões anormais.
Nenhum comentário:
Postar um comentário