稳定互联,中美互联,站长交流,虚拟主机,香港主机,美国主机,虚拟空间,免费空间,免费VPS,免费域名

 找回密码
 立即注册
查看: 2877|回复: 0

[公告] 关于LinuxTCP"SACKPANIC"远程拒绝服务漏洞的通知

[复制链接]
发表于 2019-6-22 17:26:56 | 显示全部楼层 |阅读模式
近日 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。) u% H9 t; r6 j: v" E+ ]
" W: T9 b& C4 J
【漏洞详情】  s' z" S& c, X+ l& u) t. o, h: M
近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。
1 P( f0 b- m2 A6 ?3 L
  M# f. t8 c) ?( e【风险等级】
6 D: \- A1 l" z% B( z高风险/ C, K( T0 x& ?3 ?8 l9 F( g

  Q8 p1 s8 e3 y; l! C【漏洞风险】% j2 o4 K$ ~9 w; n
远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。5 y3 o7 {: `# Q( L4 S
, G/ \: M. S) p& n
【影响版本】
; X( k" U7 Q) Q6 m- x" _目前已知受影响版本如下:9 h5 J( t6 s* o: l- Z/ n: A  n
FreeBSD 12(使用到 RACK TCP 协议栈)
3 b& d) t% L7 v. ~+ x' I! KCentOS 5(Redhat 官方已停止支持,不再提供补丁)! |% N0 C4 t+ B. S8 K/ m& h
CentOS 6
1 V# Q" Y8 A2 ^* k1 U$ bCentOS 7
" ^. a* M3 V# C# N* L8 O' EUbuntu 18.04 LTS7 k. p  r2 s$ q- L0 e7 i1 k7 Q
Ubuntu 16.04 LTS/ O+ W4 R: W4 v" b
Ubuntu 19.04
0 A+ R  K1 h: c7 p5 X6 p7 OUbuntu 18.10. @' I+ o9 I% I9 `: v6 `5 ~+ Y4 y
2 j! ^4 A% _8 Y* M
【安全版本】
- M6 \, s1 ^( F各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:# s9 S9 U9 i1 Q# T. Y
CentOS 6 :2.6.32-754.15.36 [3 ^, n, P& X
CentOS 7 :3.10.0-957.21.38 i: H6 J# {5 V# E; z
Ubuntu 18.04 LTS:4.15.0-52.56) P# k9 E& X5 u7 E* z% ?0 L$ w
Ubuntu 16.04 LTS:4.4.0-151.178 $ ]: n! Q( W8 r
) y  ?. x* l1 R5 C/ {8 `
【修复建议】" Y. |0 x' p2 N
请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:
9 f. Q/ d; m( V! P5 w* D, ]' o推荐方案:【CentOS 6/7 系列用户】
# y/ Y: X# N! d* x, L% Y9 v+ s   1)yum clean all && yum makecache,进行软件源更新;
4 H# v) _5 y" g2 K4 s! z   2)yum update kernel  -y,更新当前内核版本;9 m: Q( z/ I$ o, l
   3)reboot,更新后重启系统生效;/ z& H% J$ ?) M4 x9 v/ r# |
   4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。
7 O8 _3 X3 P0 I: K推荐方案:【Ubuntu 16.04/18.04 LTS 系列用户】
  ], q: d$ Y- h7 y; C6 s- J9 C   1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;/ H6 Z% H, k" `5 c
   2)sudo reboot,更新后重启系统生效;
6 Q$ x/ V( R0 X# R1 ~$ g, }   3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。( ~5 J1 S. W0 A, @6 d
临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用,运行如下命令即可:! K, S4 L8 q" ~8 P3 S' a8 F$ w
  1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;7 D- i1 |" ?3 X
  2)sysctl -p ,重载配置,使其生效。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|WdidcNet ( 苏ICP备17005075号-1 )

GMT+8, 2025-7-31 12:21 , Processed in 0.008263 second(s), 8 queries , APCu On.

Powered by Discuz!

© 2010-2023.

快速回复 返回顶部 返回列表