近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。0 E4 t$ e- C& q |
# q8 [6 n2 \7 f【漏洞详情】& c/ u1 r) f6 J
近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。
2 [) M/ s4 P' |3 a- Z( r0 e" e- o0 d+ j, W' B
【风险等级】& l5 e Z; K' m' h3 ~! H, B! E
高风险
# l$ r8 z6 I; M) S# s B
3 v- @; }( J7 ^【漏洞风险】
+ J( n5 ^* k8 Y% c" k远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。
0 i6 W1 `4 @; v# a2 v% {
1 ]/ B% N# c9 h# U【影响版本】
& M( U3 I e, D: k7 M目前已知受影响版本如下:
V" i2 H8 O5 ^% ?, B0 ]/ qFreeBSD 12(使用到 RACK TCP 协议栈)
9 b+ z$ Z" p9 `- QCentOS 5(Redhat 官方已停止支持,不再提供补丁)2 M. C$ K( Y K+ x
CentOS 68 k Q5 r+ e! e+ G8 |
CentOS 7
6 y; S; ]0 K$ B+ d+ N- ^4 QUbuntu 18.04 LTS- v3 R' j7 O. z# o
Ubuntu 16.04 LTS
7 [+ h+ w* [% H' I/ _& AUbuntu 19.04+ |- T" d" H( X3 |" @
Ubuntu 18.109 K$ A: o; g$ O: b5 v% k
4 c$ h! }9 Z N; v【安全版本】$ N% I$ d$ Z, g; l6 b
各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:! C% o0 v+ O# U9 i) j2 S
CentOS 6 :2.6.32-754.15.37 \4 j% u" F' ?# `' C
CentOS 7 :3.10.0-957.21.3
& n% ~: p& S: k v Ubuntu 18.04 LTS:4.15.0-52.56
1 k0 H' r9 J0 c2 ]" | Ubuntu 16.04 LTS:4.4.0-151.178
5 I1 r" }1 U7 A8 @& ~1 c& d8 p! N+ r
【修复建议】4 H# }7 W- k( F2 z& ~
请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:
5 g! g: Y/ f& ?9 W/ g* B; @ C推荐方案:【CentOS 6/7 系列用户】
! ~% o. z" x+ y7 p 1)yum clean all && yum makecache,进行软件源更新;
, `. ~# B9 l# x# N: _ 2)yum update kernel -y,更新当前内核版本;
2 x R! p! m( d+ a% D4 C" K 3)reboot,更新后重启系统生效;
$ }5 \' D. q3 s% Q6 B 4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。
. e3 [# _. _, p% J推荐方案:【Ubuntu 16.04/18.04 LTS 系列用户】
% d$ m' ~* p9 E) C& G& w' X5 c" z 1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;
4 H! w; P8 m) I" r4 ^ 2)sudo reboot,更新后重启系统生效;$ D- b" g9 b# V9 `& w3 a/ C. Z
3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。
8 {% \9 [4 U: E3 Y临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用,运行如下命令即可:
: U8 p8 M/ H8 U8 w$ a) y 1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;
! h0 {9 ]( p& W s 2)sysctl -p ,重载配置,使其生效。 |