近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。) u% H9 t; r6 j: v" E+ ]
" W: T9 b& C4 J
【漏洞详情】 s' z" S& c, X+ l& u) t. o, h: M
近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。
1 P( f0 b- m2 A6 ?3 L
M# f. t8 c) ?( e【风险等级】
6 D: \- A1 l" z% B( z高风险/ C, K( T0 x& ?3 ?8 l9 F( g
Q8 p1 s8 e3 y; l! C【漏洞风险】% j2 o4 K$ ~9 w; n
远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。5 y3 o7 {: `# Q( L4 S
, G/ \: M. S) p& n
【影响版本】
; X( k" U7 Q) Q6 m- x" _目前已知受影响版本如下:9 h5 J( t6 s* o: l- Z/ n: A n
FreeBSD 12(使用到 RACK TCP 协议栈)
3 b& d) t% L7 v. ~+ x' I! KCentOS 5(Redhat 官方已停止支持,不再提供补丁)! |% N0 C4 t+ B. S8 K/ m& h
CentOS 6
1 V# Q" Y8 A2 ^* k1 U$ bCentOS 7
" ^. a* M3 V# C# N* L8 O' EUbuntu 18.04 LTS7 k. p r2 s$ q- L0 e7 i1 k7 Q
Ubuntu 16.04 LTS/ O+ W4 R: W4 v" b
Ubuntu 19.04
0 A+ R K1 h: c7 p5 X6 p7 OUbuntu 18.10. @' I+ o9 I% I9 `: v6 `5 ~+ Y4 y
2 j! ^4 A% _8 Y* M
【安全版本】
- M6 \, s1 ^( F各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:# s9 S9 U9 i1 Q# T. Y
CentOS 6 :2.6.32-754.15.36 [3 ^, n, P& X
CentOS 7 :3.10.0-957.21.38 i: H6 J# {5 V# E; z
Ubuntu 18.04 LTS:4.15.0-52.56) P# k9 E& X5 u7 E* z% ?0 L$ w
Ubuntu 16.04 LTS:4.4.0-151.178 $ ]: n! Q( W8 r
) y ?. x* l1 R5 C/ {8 `
【修复建议】" Y. |0 x' p2 N
请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:
9 f. Q/ d; m( V! P5 w* D, ]' o推荐方案:【CentOS 6/7 系列用户】
# y/ Y: X# N! d* x, L% Y9 v+ s 1)yum clean all && yum makecache,进行软件源更新;
4 H# v) _5 y" g2 K4 s! z 2)yum update kernel -y,更新当前内核版本;9 m: Q( z/ I$ o, l
3)reboot,更新后重启系统生效;/ z& H% J$ ?) M4 x9 v/ r# |
4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。
7 O8 _3 X3 P0 I: K推荐方案:【Ubuntu 16.04/18.04 LTS 系列用户】
], q: d$ Y- h7 y; C6 s- J9 C 1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;/ H6 Z% H, k" `5 c
2)sudo reboot,更新后重启系统生效;
6 Q$ x/ V( R0 X# R1 ~$ g, } 3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。( ~5 J1 S. W0 A, @6 d
临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用,运行如下命令即可:! K, S4 L8 q" ~8 P3 S' a8 F$ w
1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;7 D- i1 |" ?3 X
2)sysctl -p ,重载配置,使其生效。 |