在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关,其中最严重的漏洞为 SACK Panic,允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477,影响 2.6.29 以上版本。
根据Red Hat的说法,影响内核TCP处理子系统的问题通过多个CVE进行跟踪,CVE-2019-11477 SACK Panic已被指定为7.5为高危漏洞,而CVE-2019-11478和CVE- 2019-11479被认为是中危漏洞。
一、SACK Panic安全漏洞:
SACK Panic漏洞会影响Linux内核2.6.29及更高版本,建议直接更新补丁。
二、临时解决办法:
管理员可以禁用系统上的SACK处理(将/ proc / sys / net / ipv4 / tcp_sack设置为0)。
三、更多拒绝服务的漏洞:
另外两个漏洞影响所有Linux版本,CVE-2019-11478(被称为SACK Slowness)可通过发送“一个精心设计的SACK序列来分解TCP重传队列”来利用,而CVE-2019-11479允许攻击者触发DoS通过发送“具有低MSS值的精心制作的数据包来触发过多的资源消耗”来进行状态。
四、目前已知受影响版本如下:
FreeBSD 12(使用到 RACK TCP 协议栈)
CentOS 5(Redhat 官方已停止支持,不再提供补丁)
CentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTSUbuntu 19.04
Ubuntu 18.10
五、各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:
CentOS 6 :2.6.32-754.15.3
CentOS 7 :3.10.0-957.21.3
Ubuntu 18.04 LTS :4.15.0-52.56
Ubuntu 16.04 LTS:4.4.0-151.178
六、修复方式
升级 Linux到上述版本,详细操作如下:
CentOS 6、7 用户:
CentOS官方暂未同步内核修复补丁到软件源,建议用户及时关注补丁更新情况并开展相应升级工作。升级方式如下:
1. yum clean all && yum makecache,进行软件源更新;
2. yum update kernel -y,更新当前内核版本;
3. reboot,更新后重启系统生效;
4. uname -a,检查当前版本是否为上述版本,如果是,则说明修复成功。
Ubuntu 16.06 、18.04 LTS 用户:
1sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;
2. sudo reboot,更新后重启系统生效;
3. uname -a,检查当前版本是否为上述版本,如果是,则说明修复成功。