Linux内核TCP SACK Panic远程拒绝服务漏洞

漏洞描述

Linux内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出,导致系统奔溃或者无法提供服务,实现远程拒绝服务攻击。

漏洞风险

CVE-2019-11477 高危

CVE-2019-11478 中危

CVE-2019-11479 低危

影响版本

FreeBSD 12 (使用到RACK TCP协议栈)

CentOS 5 (Redhat官方已停止支持,不在提供补丁)

CentOS 6

CentOS 7

Ubuntu 16.04 LTS

Ubuntu 18.04 LTS

Ubuntu 18.10

Ubuntu 19.04

安全版本

各大linux发行厂商已经发布了内核修复补丁,详细内核修复版本如下:

CentOS 6: 2.6.32-754.15.3

CentOS 7: 3.10.0-957.21.3

Ubuntu 18.04 LTS: 4.15.0-52.56

Ubuntu 16.04 LTS: 4.4.0-151.178

修复建议

1.禁用SACK机制功能,执行命令如下:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2.升级Linux Sever到上述安全版本。

注意:以上任意一种修复方式都有可能造成业务不可用。

相关连接:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

https://access.redhat.com/security/vulnerabilities/tcpsack

搬瓦工,CN2高速线路,1GB带宽,电信联通优化KVM,延迟低,速度快,建站稳定,搬瓦工BandwagonHost VPS优惠码BWH26FXH3HIQ,支持<支付宝> 【点击购买】!

Vultr$3.5日本节点,512M内存/500G流量/1G带宽,电信联通优化,延迟低,速度快【点击购买】!

腾讯云云产品精选秒杀【点击购买】

阿里云香港、新加坡VPS/1核/1G/25G SSD/1T流量/30M带宽/年付¥288【点击购买】

百度云不止一折优惠【点击购买】

发表评论

电子邮件地址不会被公开。 必填项已用*标注