Linux 内核TCP SACK机制远程拒绝服务漏洞

背景信息:

2019年6月18日,国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述:

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞定级:

  1. CVE-2019-11477 高危
  2. CVE-2019-11478 中危
  3. CVE-2019-11479 中危

漏洞影响范围:

  1. Linux> = 2.6.29(CVE-2019-11477)
  2. Linux <4.15/所有Linux版本(CVE-2019-11478)
  3. 使用RACK TCP堆栈的FreeBSD 12(CVE-2019-5599)
  4. 所有Linux版本(CVE-2019-11479)

漏洞处置建议:

1、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2、升级Linux安全补丁(需要重启服务器)

  1. Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic
  2. Centos 系列:yum update kernel
  3. 其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

注意:内核漏洞的修复对业务会产生很多不可预见的风险,请一定慎重。

扩展知识引用:

RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

相关推荐:
一个躺在床上的本本…… 笔记本小巧方便对于有笔记本电脑的朋友来说,肯定喜欢躺在床上使用笔记本悠闲的玩玩游戏或者是看看电影、听听音乐。但是就在你这样使用电脑的时候,你的笔记本也在慢慢的遭受着损耗。 …
Resource Hacker 原生免费无广告,主要用于察看、反汇编和取代 Windows 可执行程序中的资源,支持 Delphi 7 和 C++ Builder。这款小巧的资源察看器、资源替换修改工具非常的简单实用,它还内置了内部 …
Android Killer 是一款可视化的安卓应用逆向工具,集Apk反编译、Apk打包、Apk签名,编码互转,ADB通信(应用安装-卸载-运行-设备文件管理)等特色功能于一身,支持logcat日志输出,语法高亮,基于关键字( …
一、安装Tomcat和JDK 1、上传apache-tomcat-6.0.18.tar.gz和jdk-6u12-linux-i586.bin至/usr/local 2、执行如下命令安装tomcat: #cd /usr/local #tar zxvf apache-tomcat-6.0.18.tar.gz 解压完成后将apache …
自带的Maven源地址是国外的,该Maven源在国内的访问速度是很慢的,除非使用了特别的手段。一般情况下,我们建议使用国内的第三方开放的Maven源或企业内部自建Maven源。 那么怎么处理就能够使用自定义的Mave …
手机扫一扫即可带走我!