关于LinuxTCP"SACKPANIC"远程拒绝服务漏洞的通知

admin

近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞（漏洞编号：CVE-2019-11477,CVE-2019-11478,CVE-2019-11479），攻击者可利用该漏洞远程攻击目标服务器，导致系统崩溃或无法提供服务。
, E8 H/ h" h* w; E
1 T4 _6 P  ]/ t# j. |8 X9 A0 O【漏洞详情】
9 O3 p. Y) K. e  v: ?近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞，攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。

. Q- \6 M5 D4 J! e【风险等级】
高风险

' X/ E$ j! P( S4 s9 T【漏洞风险】
2 @5 ]& P# W! M6 Z5 N3 R0 S6 U远程发送特殊构造的攻击包，导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。
" q+ j- F, P1 H+ j) W: r+ g
; a4 }; H% g& _3 n* P【影响版本】
& e2 _& X' g0 v& l目前已知受影响版本如下：
FreeBSD 12（使用到 RACK TCP 协议栈）
! I- M# G. b3 E7 q: ^( @8 L4 eCentOS 5（Redhat 官方已停止支持，不再提供补丁）
$ o; q' s  F3 |CentOS 6
CentOS 7
* b$ ~+ D, u; H0 k! B- m) m- kUbuntu 18.04 LTS
Ubuntu 16.04 LTS
: I' o, b' o% L, gUbuntu 19.04
Ubuntu 18.10
6 N8 h0 s0 z- f# l# G+ @8 x
【安全版本】
$ u/ \+ d: M/ [4 o% F各大Linux发行厂商已发布内核修复补丁，详细内核修复版本如下：
CentOS 6 ：2.6.32-754.15.3
CentOS 7 ：3.10.0-957.21.3
4 J$ x9 h* r7 [) c- k' X7 J Ubuntu 18.04 LTS：4.15.0-52.56
Ubuntu 16.04 LTS：4.4.0-151.178

. y. Y3 |6 R+ ^, P! g【修复建议】
( `& p& {1 i, I" s. }1 H& I! S. V请参照上述【安全版本】升级您的 Linux 服务器内核，参考操作如下：
# }: p( O/ i' r4 W$ }; f' d' C- x推荐方案：【CentOS 6/7 系列用户】
   1）yum clean all && yum makecache，进行软件源更新；
# t; _+ g" u% Q# J   2）yum update kernel  -y，更新当前内核版本;
: {) [! \* z! i6 C   3）reboot，更新后重启系统生效;
   4）uname -a，检查当前版本是否为上述【安全版本】，如果是，则说明修复成功。
8 H7 F8 g1 R' L$ N# e4 J/ b推荐方案：【Ubuntu 16.04/18.04 LTS 系列用户】
& h8 |  Q% s" ^  n! K  o   1）sudo apt-get update && sudo apt-get install linux-image-generic，进行软件源更新并安装最新内核版本；
6 q8 I6 ~- a# r. b$ [$ }+ c% n   2）sudo reboot，更新后重启系统生效；
   3）uname -a，检查当前版本是否为【安全版本】，如果是，则说明修复成功。
! M6 K! C; ^9 r9 n/ j+ V$ V临时缓解方案：如用户不方便重启进行内核补丁更新，可选择如下方式禁用内核 SACK配置防范漏洞利用，运行如下命令即可：
  1）echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ，禁用 SACK 配置；
  2）sysctl -p ，重载配置，使其生效。