背景信息:
2019年6月18日,国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。
漏洞描述:
Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。
漏洞定级:
漏洞影响范围:
漏洞处置建议:
1、禁用SACK机制功能,执行如下命令:
echo 0 > /proc/sys/net/ipv4/tcp_sack sysctl -w net.ipv4.tcp_sack=0
2、升级Linux安全补丁(需要重启服务器)
注意:内核漏洞的修复对业务会产生很多不可预见的风险,请一定慎重。
扩展知识引用:
RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh