近日,Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。
为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞描述
Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。
漏洞评级
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危
安全修复建议
注:以下任意一种修复方案都有可能造成业务不可用
方案一、禁用SACK机制功能,执行如下命令:
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
sysctl -p
方案二、升级Linux最新内核(需要重启服务器)
Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic
Centos 系列:yum update kernel
其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001
相关链接
https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party
RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
主机爱
2019-06-21
Friday, June 21, 2019