修复Linux系统内核TCP漏洞,Linux 内核中TCP SACK机制远程Dos漏洞处理方法(CVE-2019-11477) | 聂扬帆博客...

最新推荐文章于 2021-08-20 21:17:29 发布
最新推荐文章于 2021-08-20 21:17:29 发布
阅读量144 收藏
点赞数
文章标签: 修复Linux系统内核TCP漏洞

0x00 漏洞描述

2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。

0x01 影响版本

影响Linux 内核2.6.29及以上版本

0x02 修复方案

(1)及时更新补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

Linux内核版本>=4.14需要打第二个补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

(2)禁用SACK处理

禁用SACK会影响传输效率,如果对传输有要求的不建议禁用echo 0 > /proc/sys/net/ipv4/tcp_sack

(3)使用过滤器来阻止攻击

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md

最简单的临时解决方式:iptables命令iptables -t raw -I PREROUTING -p tcp -m tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP

此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)

(4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞

https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh

渴饮易水流
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux常见漏洞修复
wd520521的博客
03-07 1886
5353端口是mDNS服务,通常是帮助程序在不需要进行手动网络配置的情况下,在一个本地网络发布和获知各种服务和主机。例如,当某用户把他的计算机接入到某个局域网时,如果他的机器运行有Avahi服务,则Avahi程式自动广播,从而发现网络可用的打印机、共享文件和可相互聊天的其他用户。
TCP 连接重置漏洞 - CVE-2004-0230讲解
weixin_33940102的博客
07-10 3200
TCP 连接重置漏洞 - CVE-2004-0230: IPv6 实施存在一个拒绝服务漏洞,该漏洞可能允许攻击者向受影响系统发送特制的 TCP 消息。 成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。 TCP 连接重置漏洞 (CVE-2004-0230) 的缓解因素: 攻击者必须能够预测或发现现有 TCP 网络连接的源和目标的 IP 地址和端口信息。 攻击者还应当预...
修复Linux系统内核TCP漏洞,如何修复Linux内核存在的TCP漏洞
weixin_42402228的博客
04-30 283
描述卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“Segme...
端口测试及验证方法说明之LinuxTCP/UDP
xiayudaibas的博客
05-29 737
Linux 系统,有时需要在系统测试端口的连通性,以便确认系统TCP、UDP协议栈是否可以正常运行。本文对此进行简要说明。 TCP端口测试 使用 telnet 测试现有监听端口连通性 可以使用 Linux 自带的 telnet 工具来测试现有端口的连通性,测试命令为: telnet <host> <port> # host 是目标服务器 IP,port是待测试端口...
Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法
jingde528的博客
11-05 978
Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法 CVE-2019-11477漏洞简单介绍https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68 RedHat用户可以使用以下脚本来检查系统是否存在漏洞https://access.redhat.com/sites/default...
修复Linux系统内核TCP漏洞,Linux内核错误:TCP漏洞让攻击者以最少的流量攻击系统...
weixin_31759799的博客
04-30 192
安全研究人员警告Linux系统用户Linux内核版本4.9及以上的一个bug,该bug可能会被用来攻击网络工具包上的拒绝服务攻击系统Linux内核的新版本可能会被迫对每一个可能导致拒绝服务(DoS)的传入包进行非常昂贵的调用tcp_axisse_ofo_queue()和tcp_prune_ofo_queue()。研究人员列出了许多可能受到影响的网络设备供应商,PC和服务器制造商,移动供应商和操作...
Linux设备TCP连接曝高危漏洞 只要接入网络就可能被攻击.pdf
09-06
Linux设备TCP连接曝高危漏洞 只要接入网络就可能被攻击.pdf
TCP连接被意外重置的原因
热门推荐
luansxx的专栏
09-24 1万+
    今天在做服务器压力测试的时候,出现了很奇怪的情况,与服务器建立连接会成功,但是很快会被重置(RESET)掉。花了半天时间,终于找到原因所在,我把过程和结果写下来与大家分享。     服务器正常逻辑是:接受连接,等待用户注册报文,处理其他请求,如果连接一段时间没有活动,则主动关闭连接。     客户端逻辑是:与服务器建立连接后,马上发送注册报文,然后每隔一段时间发送一个请求。
CVE-2019-11477Linux内核TCP协议栈整数溢出漏洞详细分析
systemino的博客
06-21 1108
*本文涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 漏洞概述 2019年6月18日,RedHat官网发布CVE编号为CVE-2019-11477漏洞,此漏洞是一个底层协议栈的整数溢出漏洞,影响Linux内核2.6.29及以上版本,理论上可以造成远程拒绝服务漏洞。经过我们团队分析验证,在实际环境很难触发此漏洞,所以在实际环境...
linux tcp异常处理
锅锅的博客
08-20 537
介绍 主要就是send和rcv的异常判断 #include <sys/types.h> #include <sys/socket.h> ssize_t recv(int sockfd, void *buf, size_t len, int flags); 参数: sockfd创建的文件描述符fd, buf接收数据的缓冲区, len接收数据的长度, flags表示信息,默认设置为0 ssize_t send(int sockfd, const void *buf, size_t len
linux内核TCP的连接状态管理
网络安全研究
04-26 2181
TCP协议实例连接状态存放在struct sock数据结构的state数据域。 当TCP协议实例连接处于不同状态时,对数据包的处理不一样,所以每个输入的数据包都要来查询TCP状态机,整个状态机制划分成3个阶段: 第一阶段:连接建立阶段。 第二阶段:数据传送阶段。 第三阶段:断开连接阶段。 1. TCP建立连接(tcp_v4_connect) tcp_v4_connect 函数将初始化一个对外...
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
一种基于关键能力的体系贡献率评估方法_李丹.caj
07-28
一种基于关键能力的体系贡献率评估方法_李丹
化学/环境学-线性拟合/零级反应动力学拟合/一级反应动力学拟合/二级反应动力学拟合/三级反应动力学拟合软件
07-28
在进行实验的过程,常常遇到做出一组数据却不知其效果的困扰,如做出标准曲线却不知其拟合优度。一般需用电脑的专业软件进行拟合,如Origin、MATLAB等,但存在操作步骤复杂,软件需付费等问题。基于上述情况,针对线性拟合(linear fitting)和零级反应动力学拟合(zero-order reaction kinetics fitting)、一级反应动力学拟合(first-order reaction kinetics fitting)、二级反应动力学拟合(second-order reaction kinetics fitting)、三级反应动力学拟合(third-order reaction kinetics fitting)等特殊拟合场景,开发了一个软件,其优势有: a.使用BSD许可证,即允许免费使用、修改和分发; b.支持手机(Android系统)和电脑(Windows系统)双平台使用,便于在实验现场检验实验效果; c.软件界面均采用文。
731545397801645熊猫侠v1.1.50.apk
07-28
731545397801645熊猫侠v1.1.50.apk
全国行政区划adcode,街道/乡镇级,更新至23年09月,sql文件
最新发布
07-28
更新时间:更新至2023年9月 数据内容:包括全国各级行政区划的最新adcode。adcode是国行政区域的唯一编码,可用于各种地理信息系统和数据库。 数据格式:提供SQL文件,结构化数据文件,可以用于数据库的导入和更新。
餐饮咖啡西餐厅饮品创业计划书运营策划书.doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
抓包出现tcp retransmission dup ack 如何优化linux内核
07-10
要优化 Linux 内核以减少 TCP 重传和重复确认问题,可以尝试以下方法: 1. 调整 TCP 参数:可以通过修改内核参数来调整 TCP 的行为。一些相关的参数包括: - tcp_retries1 和 tcp_retries2:控制 TCP 重传的次数。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值