稳定互联,中美互联,站长交流,虚拟主机,香港主机,美国主机,虚拟空间,免费空间,免费VPS,免费域名

 找回密码
 立即注册
查看: 1784|回复: 0

[公告] 关于LinuxTCP"SACKPANIC"远程拒绝服务漏洞的通知

[复制链接]
发表于 2019-6-22 17:26:56 | 显示全部楼层 |阅读模式
近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。
" }4 ~# o# o+ `( {' O/ I# K9 J8 y7 c9 u( y2 Q* e
【漏洞详情】
) B0 S% ]3 ?1 Z' a) h近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。8 k/ Z% e5 `% ^6 Z$ u$ r2 |

- h/ {0 \7 I7 P& p/ @4 J: I【风险等级】7 `9 t( o7 R2 ~; p' t% {; `/ b$ v) s1 E
高风险& X, E% C- T( V
* _4 D. A! Z/ l# ~1 e
【漏洞风险】
& s' `% J, {) a: S远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。
, Y6 q8 i1 T' D$ G. G
$ [. x6 w" ~' d* p; V* ]【影响版本】# T; ?4 ~) _8 S7 B6 d6 l/ P# o- j
目前已知受影响版本如下:
$ Y$ o$ g  f9 @' TFreeBSD 12(使用到 RACK TCP 协议栈)
% R! a% L/ M# S) M' k8 FCentOS 5(Redhat 官方已停止支持,不再提供补丁)
! l6 k4 l  T5 j6 x/ [2 ?: {9 n; fCentOS 6; R( o6 x: h4 g4 U' a# u1 \1 c( d
CentOS 7
% ]( @# y: T0 U' c: {3 bUbuntu 18.04 LTS
0 B1 x6 D& m5 J/ sUbuntu 16.04 LTS0 d- p9 h$ W$ \7 v5 Q- M; z) \
Ubuntu 19.04' w, `, y' [0 {) E& U3 i
Ubuntu 18.10, E2 t# }7 w$ H- ]; \

% A3 m- |8 g( J/ u1 L【安全版本】
5 n0 J3 h! d5 x7 ~; j! s# J8 \1 g各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:
5 f, |6 N4 D1 _) E' G+ A( B/ j CentOS 6 :2.6.32-754.15.3; D- `) ^- A. E) N* b: e$ m
CentOS 7 :3.10.0-957.21.3) n+ e, u  D1 ~) }, _$ o0 l2 [) Z2 k
Ubuntu 18.04 LTS:4.15.0-52.56* z9 ]" M  V' Z: B  q5 }7 N% A
Ubuntu 16.04 LTS:4.4.0-151.178
$ @. g. N; I' `$ C7 y. a. W. N/ q& _2 t3 ~
【修复建议】3 E2 G/ O5 v' x: O5 S4 N
请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:
) P1 \* p& {+ `( m9 D$ m+ M推荐方案:【CentOS 6/7 系列用户】2 B% M# P1 h- i" w* U# b
   1)yum clean all && yum makecache,进行软件源更新;% u- _" \, M  D! u7 M6 b) j
   2)yum update kernel  -y,更新当前内核版本;
% `$ \4 D' A* A5 q   3)reboot,更新后重启系统生效;
+ R: J- e1 l. I: V   4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。
3 O( U6 Y5 l) |6 v$ r推荐方案:【Ubuntu 16.04/18.04 LTS 系列用户】. s, X! U7 [* |
   1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;
& `% i- y- A; B" k2 i$ f" R   2)sudo reboot,更新后重启系统生效;
! t+ M' A0 @3 a% Z8 T   3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。1 t2 @& u: N3 `$ u. X$ E$ X
临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用,运行如下命令即可:
2 X( V. m# ?$ M+ f  r  1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;
1 L) [7 A7 t& }5 N/ A" D0 Z/ e  2)sysctl -p ,重载配置,使其生效。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|WdidcNet ( 苏ICP备17005075号-1 )

GMT+8, 2023-12-11 21:29 , Processed in 0.028265 second(s), 15 queries .

Powered by Discuz!

© 2010-2023.

快速回复 返回顶部 返回列表