Linux 内核TCP SACK机制远程拒绝服务漏洞

背景信息:

2019年6月18日,国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述:

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞定级:

  1. CVE-2019-11477 高危
  2. CVE-2019-11478 中危
  3. CVE-2019-11479 中危

漏洞影响范围:

  1. Linux> = 2.6.29(CVE-2019-11477)
  2. Linux <4.15/所有Linux版本(CVE-2019-11478)
  3. 使用RACK TCP堆栈的FreeBSD 12(CVE-2019-5599)
  4. 所有Linux版本(CVE-2019-11479)

漏洞处置建议:

1、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2、升级Linux安全补丁(需要重启服务器)

  1. Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic
  2. Centos 系列:yum update kernel
  3. 其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

注意:内核漏洞的修复对业务会产生很多不可预见的风险,请一定慎重。

扩展知识引用:

RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论,或是在博客发表留言都可能有意或无意输入一些破坏性的内容,从而造成网页不能正常显示,影响其它用户的使用。 XSS 全称为 Cross Site Scripting,因为 CSS 已经用作样式表的简称,故称为 XSS。 XSS...
  • OhSoft的主要产品oCam是一个功能强大的视频录制程序,可以录制视频,通过您的个人电脑在显示器上播放。 长期以来,世界上有很多人使用这个解决方案,所以这个方案得到了优化。该解决方案可以有效地录制包括网络游戏在内的多种格式的网络视频,具有无限长的优点。 此外,您可以使用GIF录制功能和WEB-CA...
  • 一、准备工作: 准备一个 8GB 或以上容量的 U 盘,确保里面的数据已经妥善备份好(该过程会抹掉 U 盘全部数据),下载苹果官方 OS X Yosemite 正式版的安装程序。 如果你是从 Mac AppStore 下载的,下载完成后安装程序可能自动开始,这时先退出安装,如从网盘下载的,请将解压后...
  • 内存可以说是一台电脑中故障最频繁的部件之一,由于内存故障的表现都比较直接,因此我们在维修时并不用花太多的时间去判断故障的出处,一般情况下只要更换一条新的内存条,如果机器能够顺利启动并能够稳定运行,即断定内存条出现了问题。目前市场中生产内存的厂商众多,价格也相对便宜了许多,出现内存故障后我们一般会选择...
  • 西班牙足球甲级联赛官方 Android 应用因非法监听用户被罚 25 万欧元。 去年西甲承认它的 Android 应用访问手机的麦克风和 GPS,但它辩护称此举旨在通过匹配音频数据和手机位置,跟踪播放比赛的非法场所。 西甲应用在 Google Play 官方市场下载量超过一千万次,西甲表示它希望 “...
微信扫一扫即可带走我!