关于LinuxTCP"SACKPANIC"远程拒绝服务漏洞的通知

admin

近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞（漏洞编号：CVE-2019-11477,CVE-2019-11478,CVE-2019-11479），攻击者可利用该漏洞远程攻击目标服务器，导致系统崩溃或无法提供服务。
6 x% Z6 K/ u1 j0 W
【漏洞详情】
近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞，攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。
( _2 C% V! ^  i4 h! L( a9 o
8 P6 `! S7 z' k" w7 [6 I  D1 W【风险等级】
; u/ }. E9 Q" F4 z高风险
, ^' c$ r' {, _# g
【漏洞风险】
远程发送特殊构造的攻击包，导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。

' b5 s; S. P" j! r8 a0 D2 j  `1 R  U【影响版本】
目前已知受影响版本如下：
FreeBSD 12（使用到 RACK TCP 协议栈）
/ |4 _1 }# D3 ECentOS 5（Redhat 官方已停止支持，不再提供补丁）
2 o1 X& f5 u4 ~! d9 PCentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 19.04
Ubuntu 18.10
$ h5 g) G. i' {4 Z3 f$ |6 V
【安全版本】
各大Linux发行厂商已发布内核修复补丁，详细内核修复版本如下：
CentOS 6 ：2.6.32-754.15.3
" L7 B1 A4 M* a; m CentOS 7 ：3.10.0-957.21.3
Ubuntu 18.04 LTS：4.15.0-52.56
4 H; x' i/ e1 U2 b+ i% M2 x) p Ubuntu 16.04 LTS：4.4.0-151.178
0 m9 R/ K0 \0 `# Q
【修复建议】
请参照上述【安全版本】升级您的 Linux 服务器内核，参考操作如下：
推荐方案：【CentOS 6/7 系列用户】
/ v$ B% ?$ u2 n* c   1）yum clean all && yum makecache，进行软件源更新；
   2）yum update kernel  -y，更新当前内核版本;
* n: R2 }' H! w1 G% I   3）reboot，更新后重启系统生效;
8 {' h: b' ^$ Y9 i; a   4）uname -a，检查当前版本是否为上述【安全版本】，如果是，则说明修复成功。
5 U. N- g9 i& y) y( m5 Y# @推荐方案：【Ubuntu 16.04/18.04 LTS 系列用户】
7 t! F0 j2 N9 O& I   1）sudo apt-get update && sudo apt-get install linux-image-generic，进行软件源更新并安装最新内核版本；
0 f$ Y# U9 r' y) e4 A! g3 z$ I   2）sudo reboot，更新后重启系统生效；
5 R9 X" m! I* J   3）uname -a，检查当前版本是否为【安全版本】，如果是，则说明修复成功。
! n. S- X4 E0 I5 n+ k临时缓解方案：如用户不方便重启进行内核补丁更新，可选择如下方式禁用内核 SACK配置防范漏洞利用，运行如下命令即可：
* K& w, E8 Z" r  1）echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ，禁用 SACK 配置；
8 }5 h, u. _- Q. K  2）sysctl -p ，重载配置，使其生效。