预警：Linux 曝出 TCP 拒绝服务漏洞( CVE-2019-11477)-快快网络

预警：Linux 曝出 TCP 拒绝服务漏洞( CVE-2019-11477)

在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关，其中最严重的漏洞为 SACK Panic，允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477，影响 2.6.29 以上版本。

根据Red Hat的说法，影响内核TCP处理子系统的问题通过多个CVE进行跟踪，CVE-2019-11477 SACK Panic已被指定为7.5为高危漏洞，而CVE-2019-11478和CVE- 2019-11479被认为是中危漏洞。

一、SACK Panic安全漏洞：

SACK Panic漏洞会影响Linux内核2.6.29及更高版本，建议直接更新补丁。

二、临时解决办法：

管理员可以禁用系统上的SACK处理（将/ proc / sys / net / ipv4 / tcp_sack设置为0）。

三、更多拒绝服务的漏洞：

另外两个漏洞影响所有Linux版本，CVE-2019-11478（被称为SACK Slowness）可通过发送“一个精心设计的SACK序列来分解TCP重传队列”来利用，而CVE-2019-11479允许攻击者触发DoS通过发送“具有低MSS值的精心制作的数据包来触发过多的资源消耗”来进行状态。

四、目前已知受影响版本如下：

FreeBSD 12（使用到 RACK TCP 协议栈）
CentOS 5（Redhat 官方已停止支持，不再提供补丁）
CentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTSUbuntu 19.04
Ubuntu 18.10

五、各大Linux发行厂商已发布内核修复补丁，详细内核修复版本如下：

CentOS 6 ：2.6.32-754.15.3
CentOS 7 ：3.10.0-957.21.3
Ubuntu 18.04 LTS ：4.15.0-52.56
Ubuntu 16.04 LTS：4.4.0-151.178

六、修复方式

升级 Linux到上述版本，详细操作如下：

CentOS 6、7 用户：

CentOS官方暂未同步内核修复补丁到软件源，建议用户及时关注补丁更新情况并开展相应升级工作。升级方式如下：

1. yum clean all && yum makecache，进行软件源更新；

2. yum update kernel -y，更新当前内核版本;

3. reboot，更新后重启系统生效;

4. uname -a，检查当前版本是否为上述版本，如果是，则说明修复成功。

Ubuntu 16.06 、18.04 LTS 用户：

1sudo apt-get update && sudo apt-get install linux-image-generic，进行软件源更新并安装最新内核版本；

2. sudo reboot，更新后重启系统生效；

3. uname -a，检查当前版本是否为上述版本，如果是，则说明修复成功。

上一篇： NASA自曝遭入侵，黑客利用树莓派窃取500MB火星任务数据

下一篇：工信部：《网络安全漏洞管理规定（征求意见稿）》

快快网络高防服务器租用,云堤清洗,安全领域专业提供商

新闻动态

预警：Linux 曝出 TCP 拒绝服务漏洞( CVE-2019-11477)