Linux 内核TCP SACK机制远程拒绝服务漏洞

背景信息:

2019年6月18日,国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述:

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞定级:

  1. CVE-2019-11477 高危
  2. CVE-2019-11478 中危
  3. CVE-2019-11479 中危

漏洞影响范围:

  1. Linux> = 2.6.29(CVE-2019-11477)
  2. Linux <4.15/所有Linux版本(CVE-2019-11478)
  3. 使用RACK TCP堆栈的FreeBSD 12(CVE-2019-5599)
  4. 所有Linux版本(CVE-2019-11479)

漏洞处置建议:

1、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2、升级Linux安全补丁(需要重启服务器)

  1. Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic
  2. Centos 系列:yum update kernel
  3. 其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

注意:内核漏洞的修复对业务会产生很多不可预见的风险,请一定慎重。

扩展知识引用:

RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 当使用Microsoft帐户登录Windows8时,用户的某些系统和应用设置将存储在云中,并与运行Win8的电脑之间实现同步。那大家有没有想过,如果想删除云端中的这些设置,要如何操作呢? 来看看微软的官方答案: 当您使用Microsoft账户进行登录时,您的电脑将会自动连接到云。这意味着您的许多个人...
  • FTP是有两种传输的模式的,主动模式和被动模式,很多的朋友可能比较陌生或是多数是不清楚之间的差异。 一个完整的FTP文件传输需要建立两种类型的连接,一种为文件传输下命令,称为控制连接,另一种实现真正的文件传输,称为数据连接。 1)      控制连接 客户端希望与FTP服务器建立上传下载的数据传输时...
  • 各种U盘启动模式简介(USB-HDD、ZIP、HDD+、ZIP+、USB-CDROM) 1、USB-HDD:硬盘仿真模式,DOS启动后显示C:盘。此模式兼容性很高,但对于一些只支持USB-ZIP模式的电脑则无法启动,特别是一些老爷机。 2、USB-ZIP:大容量软盘仿真模式,DOS启动后显示A盘,F...
  • 很幸运的是著名的GIT客户端产品SmartGit已经推出了免费版本,即社区版本。只要用户不是用于商业等性质即可免费使用它。 但是用了一段时间会发现提示提供授权码,这是什么情况?具体的情况我们也不晓得,可能是检测到了非社区下的使用。 那么想继续使用Non-Commercial授权协议怎么办? Free...
  • 我们平常在安装软件的时候,若是选择官方的安装版就会在你的磁盘中生成各式各样的文件。 举个下下例子就好理解了,拿腾讯的QQ来说,安装一个腾讯的QQ会在你的操作系统上做这么几件事: 1、将安装包解包,一般在临时目录,可以放心; 2、检测并清理系统中曾安装过同款软件的冲突文件或目录; 3、复制软件解压后的...
微信扫一扫即可带走我!