关于快快

About us

新闻中心 > 行业资讯 > 预警:Linux 曝出 TCP 拒绝服务漏洞( CVE-2019-11477) 2019-06-21 17:26

预警:Linux 曝出 TCP 拒绝服务漏洞( CVE-2019-11477)

在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关,其中最严重的漏洞为 SACK Panic,允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477,影响 2.6.29 以上版本。


根据Red Hat的说法,影响内核TCP处理子系统的问题通过多个CVE进行跟踪,CVE-2019-11477 SACK Panic已被指定为7.5为高危漏洞,而CVE-2019-11478和CVE- 2019-11479被认为是中危漏洞。


一、SACK Panic安全漏洞:

SACK Panic漏洞会影响Linux内核2.6.29及更高版本,建议直接更新补丁。


二、临时解决办法:

管理员可以禁用系统上的SACK处理(将/ proc / sys / net / ipv4 / tcp_sack设置为0)。


三、更多拒绝服务的漏洞:

另外两个漏洞影响所有Linux版本,CVE-2019-11478(被称为SACK Slowness)可通过发送“一个精心设计的SACK序列来分解TCP重传队列”来利用,而CVE-2019-11479允许攻击者触发DoS通过发送“具有低MSS值的精心制作的数据包来触发过多的资源消耗”来进行状态。


四、目前已知受影响版本如下:


  • FreeBSD 12(使用到 RACK TCP 协议栈)
  • CentOS 5(Redhat 官方已停止支持,不再提供补丁)
  • CentOS 6
  • CentOS 7
  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 LTSUbuntu 19.04
  • Ubuntu 18.10



五、各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:


  • CentOS 6 :2.6.32-754.15.3
  • CentOS 7 :3.10.0-957.21.3
  • Ubuntu 18.04 LTS :4.15.0-52.56
  • Ubuntu 16.04 LTS:4.4.0-151.178



六、修复方式

升级 Linux到上述版本,详细操作如下:


CentOS 6、7 用户:

CentOS官方暂未同步内核修复补丁到软件源,建议用户及时关注补丁更新情况并开展相应升级工作。升级方式如下:

1. yum clean all && yum makecache,进行软件源更新;

2. yum update kernel  -y,更新当前内核版本;

3. reboot,更新后重启系统生效;

4. uname -a,检查当前版本是否为上述版本,如果是,则说明修复成功。


Ubuntu 16.06 、18.04 LTS 用户:

1sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;

2. sudo reboot,更新后重启系统生效;

3. uname -a,检查当前版本是否为上述版本,如果是,则说明修复成功。


400-9188-010

公司地址:厦门市软件园二期观日路50号0201单元

客服电话:400-9188-010

电子邮箱:admi@kk30.com

Copyright © 2007-2019 [快快网络] 厦门快快网络科技有限公司 闽ICP备16037490号-1 闽公网安备 35020302000839号 公安机关联网备案号 35020301000110
中国互联网络信息中心IP地址分配联盟单位 《中华人民共和国增值电信业务经营许可证》IDC/ISP:闽B1-20160142

360网站安全检测平台