Linux 内核TCP SACK机制远程拒绝服务漏洞

背景信息:

2019年6月18日,国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述:

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞定级:

  1. CVE-2019-11477 高危
  2. CVE-2019-11478 中危
  3. CVE-2019-11479 中危

漏洞影响范围:

  1. Linux> = 2.6.29(CVE-2019-11477)
  2. Linux <4.15/所有Linux版本(CVE-2019-11478)
  3. 使用RACK TCP堆栈的FreeBSD 12(CVE-2019-5599)
  4. 所有Linux版本(CVE-2019-11479)

漏洞处置建议:

1、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2、升级Linux安全补丁(需要重启服务器)

  1. Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic
  2. Centos 系列:yum update kernel
  3. 其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

注意:内核漏洞的修复对业务会产生很多不可预见的风险,请一定慎重。

扩展知识引用:

RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

相关推荐:
MindManager,中文商标译作C,俗称“脑图”,是一款创造、管理和交流思想的通用标准的绘图软件,由美国Mindjet公司开发,界面可视化,有着直观、友好的用户界面和丰富的功能, 这将帮助您有序地组织您的思维、资源和项 …
首先解释一下分配单元大小的含义:所谓分配单元大小,即是系统对磁盘以及移动存储设备进行读写的最小单位。 在极限速度以内,分配单元大小设置越大读写速度越快,反之则越慢。但是这里要注意一个问题,单元分配越大 …
1.错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。 ”,试图以参数“”启动服务 SENS 以运行服务器: {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} 2.错误ID:10005,错 …
安装示例前提 php安装目录:/usr/local/php5 php.ini配置文件路径:/usr/local/php5/etc/php.ini Nginx安装目录:/usr/local/nginx Nginx网站根目录:/usr/local/nginx/html 1、安装编译工具 #shell#yum install wge …
在申请数字证书之前,您必须先生成证书私钥和证书请求文件(CSR,Cerificate Signing Request),CSR是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心。 在生成CSR文件时会同时生成 …
拿起手机扫一扫即可带走我!