Abo
  • Services:
Anzeige
Kernel-Bug im Netzwerk-Stack geschlossen
Kernel-Bug im Netzwerk-Stack geschlossen (Bild: Flickr/CC-BY 2.0)

Kernel: Fehler liefert fehlerhafte TCP/IP-Daten an Container aus

Kernel-Bug im Netzwerk-Stack geschlossen
Kernel-Bug im Netzwerk-Stack geschlossen (Bild: Flickr/CC-BY 2.0)

Die Auslagerung von Prozessen in verschiedene virtuelle Container von Docker, Kubernetes, Google Container Engine und Mesos führte dazu, dass TCP-Prüfsummen nicht richtig ausgewertet wurden. Twitter-Entwickler entdeckten den Bug, jetzt wird der Linux-Kernel gepatcht.

Ein Fehler im Kernel führt bei Containern dazu, dass TCP-Prüfsummen nicht ausgewertet werden, wenn sie virtuelle Netzwerkadapter für ihr Netzwerkrouting verwenden. Daraus resultiert, dass Anwendungen aus gänzlich unterschiedlichen Bereichen in bestimmten Situationen fehlerhafte Daten erhalten. Betroffen sind unter anderem Docker, Kubernetes, Google Container Engine und Mesos. Für Docker gilt das nur bei Verwendung von IPv6. Der Fehler existiert seit mindestens drei Jahren, jetzt wurde ein Patch in den Kernel aufgenommen.

Anzeige

Der Zusammenhang dieser Dienste mit einem Bug im Kernel wurde im November von Twitter-Entwicklern entdeckt. Sie waren gleichzeitig informiert worden, dass von ihnen betreute Applikationen Fehler meldeten, die eigentlich nicht möglich waren. Strings enthielten Zeichen, die dort nicht hingehörten, Pflichtfelder bleiben leer.

Der Zusammenhang dieser Fehler in verschiedenen Applikationen war aufgrund der verteilten Architektur von Twitters Infrastruktur zunächst unklar geblieben. Verschärft wurde das Problem dadurch, dass fehlerhafte Daten in verteilten Systemen lange nach dem ersten Auftreten weitere Fehler nach sich ziehen können, da sie in Caches, in Logs und auf Festplatten geschrieben werden.

Schwierige Fehlersuche

Erste Untersuchungen ergaben, dass in bestimmten Server-Racks gehäuft Fehler in TCP-Prüfsummen zu verzeichnen waren, bevor die Applikationen vermehrt sinnlose Fehler meldeten. Wurden diese Racks aus dem System genommen, arbeiteten die betroffenen Anwendungen einwandfrei. Da anfängliche Tests unter Linux keine eindeutige Lösung brachten, setzten die Entwickler ihre Testreihen unter Mesos fort, das bei Twitter Anwendungen und Dienste in Containern isoliert.

Prompt wurden sie fündig. Obwohl die TCP-Prüfsummen als ungültig erkannt wurden, tauchten fehlerhafte Daten in den Anwendungen auf. Nachdem im virtuellen Adapter das Checksum-Offloading abgeschaltet war, wurden die fehlerhaften Daten erwartungsgemäß fallengelassen.

Aus dem Workaround wird ein Kernel-Patch

Damit war eine vorübergehende Lösung gefunden. Schnell war aber klar, dass es keine Fehlkonfiguration in Mesos war, sondern es sich um einen Fehler im Netzwerkstack des Kernels handelte, der schließlich im Veth-Modul gefunden wurde. Der daraus resultierende Kernel-Patch wurde mittlerweile in den Kernel aufgenommen und wird derzeit bei verschiedenen Distributionen bis zu Kernel 3.14 rückportiert.


eye home zur Startseite
mahennemaha 18. Feb 2016

Dir fällt es vermutlich bei den Google Diensten besonders auf, da Google in Verbindung...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Energiedienst Holding AG, Rheinfelden (Baden) bei Lörrach
  3. operational services GmbH & Co. KG, Berlin
  4. T-Systems International GmbH, Frankfurt am Main, Bonn, Leinfelden-Echterdingen, München


Anzeige
Top-Angebote
  1. 399,00€ (Gutscheincode: HONOR8)
  2. 69,95€
  3. 44,00€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    DrWatson | 01:38

  2. Re: 30 Stunden auf Abruf ?!?

    DrWatson | 01:36

  3. Re: Wozu?

    Tamarrah | 01:22

  4. Re: Darf Russland den Dotcom auch verhaften?

    lear | 01:13

  5. Re: Ist bei allen Onlineauftritten von Computer...

    tundracomp | 01:03


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel