关于LinuxTCP"SACKPANIC"远程拒绝服务漏洞的通知

admin

近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞（漏洞编号：CVE-2019-11477,CVE-2019-11478,CVE-2019-11479），攻击者可利用该漏洞远程攻击目标服务器，导致系统崩溃或无法提供服务。
+ x1 l- F/ O' w  o9 M8 G' M
【漏洞详情】
! E. g5 y! s% O7 E! o近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞，攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。

【风险等级】
高风险

3 ^. l8 u2 K0 h$ l【漏洞风险】
远程发送特殊构造的攻击包，导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。
# G0 j9 v( G5 a' @' s. S3 e
' E- }6 z1 W8 o8 f( y5 H【影响版本】
目前已知受影响版本如下：
FreeBSD 12（使用到 RACK TCP 协议栈）
CentOS 5（Redhat 官方已停止支持，不再提供补丁）
CentOS 6
" P1 d0 k/ O# FCentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
) m3 g6 L- l# b' c! u* g/ Z1 J. sUbuntu 19.04
7 c7 N* ^" t! O5 ~Ubuntu 18.10
' Q3 y4 y6 X# N
; p( @1 A' |! i【安全版本】
, P- Z  F- U5 M; a- j$ V4 {0 t各大Linux发行厂商已发布内核修复补丁，详细内核修复版本如下：
CentOS 6 ：2.6.32-754.15.3
# ~. {& m) a& _! Y. i. J CentOS 7 ：3.10.0-957.21.3
Ubuntu 18.04 LTS：4.15.0-52.56
" \# `+ I+ {' F6 R Ubuntu 16.04 LTS：4.4.0-151.178
7 Y$ E( N4 ?% ~
【修复建议】
% m9 p& A" X+ J+ a8 E3 r) K, a请参照上述【安全版本】升级您的 Linux 服务器内核，参考操作如下：
推荐方案：【CentOS 6/7 系列用户】
   1）yum clean all && yum makecache，进行软件源更新；
+ Y' R  w% }- I. ~   2）yum update kernel  -y，更新当前内核版本;
  i; j& z; w- j9 o' f   3）reboot，更新后重启系统生效;
   4）uname -a，检查当前版本是否为上述【安全版本】，如果是，则说明修复成功。
4 y' Y/ R) T) g# V" m! X, o/ B推荐方案：【Ubuntu 16.04/18.04 LTS 系列用户】
+ P5 \: {! o6 R- Q. T, F, ~: H" e   1）sudo apt-get update && sudo apt-get install linux-image-generic，进行软件源更新并安装最新内核版本；
1 v5 I9 V' H, S4 I. e+ p   2）sudo reboot，更新后重启系统生效；
9 P  s0 L& j; I- v0 D   3）uname -a，检查当前版本是否为【安全版本】，如果是，则说明修复成功。
( h; k( `+ p$ M+ J( T; U临时缓解方案：如用户不方便重启进行内核补丁更新，可选择如下方式禁用内核 SACK配置防范漏洞利用，运行如下命令即可：
7 a1 q! j7 L0 U# m9 D% N0 d! V& A  1）echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ，禁用 SACK 配置；
3 j8 L4 t; J' P1 |  2）sysctl -p ，重载配置，使其生效。