linux7 cve源码修复,CentOS修复CVE-2019-11477安全漏洞

最新推荐文章于 2022-04-07 13:48:06 发布
最新推荐文章于 2022-04-07 13:48:06 发布
阅读量492 收藏
点赞数
文章标签: linux7 cve源码修复

3efca4d86ad9

title

漏洞分析

​ Linux内核处理TCP网络数据包时候存在缺陷导致三个漏洞,CVE编号分别为:CVE-2019-11477,CVE-2019-11478和CVE-2019-11479。漏洞仅可以用于DOS拒绝攻击,不涉及信息泄露或者权限提升。

​ CVE-2019-11477 是最严重的四个缺陷,被称作 “SACK panic”,即Linux内核的TCP选择性确认(TCP SelectiveAcknowledgement 简称SACK)功能。

​ 远程攻击者可以利用这个漏洞来触发可能导致计算机崩溃的内核错误(Kernel panic),进而引起拒绝服务。波及Linux内核版本2.6.29以及高于2.6.29以上版本。

修复方式

​ 使用yum更新内核获取补丁升级:

sudo yum update kernel -y

​ 升级完成后需重启系统生效。

缓解措施

​ 若暂时不方便重启系统,可使用以下方式暂时处理。

第一步:禁用tcp_sack

sudo sysctl -w net.ipv4.tcp_sack=0

第二步:使用系统防火墙过滤阻止与低MSS的连接

使用iptables

sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

sudo ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

service iptables save #保存

使用firewalld

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP

firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP

firewall-cmd -reload #保存

使用检测脚本验证修复结果

​ 升级内核前:

3efca4d86ad9

升级内核前

​ 采用缓解措施后:

3efca4d86ad9

采用缓解措施后

​ 升级内核并重启后:

3efca4d86ad9

采用缓解措施后

蒋伯雍
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
在这个特定的情境中,我们关注的是如何通过使能NFS(Network File System)支持tcp-wrappers来解决一个名为"CVE-1999-0554"的安全漏洞。 NFS是一种广泛使用的网络文件共享协议,允许不同的操作系统之间共享文件和...
openssh-9.8p1-1.el9.src.rpm
最新发布
07-02
openssh 9.8p1版本src源码rpm包,内含ssh-copy-id命令,显示openssl版本信息 2024年7月2日 制作 , 适用于centos 9 rocky linux 9 redhat 9...修复安全漏洞CVE-2024-4387,对openssh进行安全加固,可制作二进制rpm包。
linux7 cve源码修复,centos7 CVE-2019-11477漏洞修复方法
weixin_33201531的博客
05-12 438
CVE-2019-11477漏洞简单介绍 https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh1 直接升级内核修复(需重启机器)#[root@CentO...
关于 Linux Polkit 权限提升漏洞(CVE-2021-4034)的修复方法
Ren_gw的博客
01-27 3706
关于 Linux Polkit 权限提升漏洞(CVE-2021-4034)的修复方法,yum update polkit
linux 修复内核漏洞,CVE-2014-0196:躲藏5年之久的Linux内核严重安全漏洞修复
weixin_39612554的博客
05-01 258
近期,一个在Linux内核(The Linux Kernel)中存在了5年之久的严重漏洞修复。信息一览编号CVE-2014-0196漏洞类型:缓冲区溢出漏洞漏洞引入:Linux 2.6.31-rc3 (2009)影响的版本:2.6.31-rc3 — 3.14.3影响的部分:伪tty设备漏洞修正:Linux 3.14.4这个漏洞通过引发伪tty设备的n_tty_write()函数内存溢出,可以:...
CVE-2019-11477 漏洞检测脚本(影响大多数Linux内核)
大哥一声吼
06-20 5910
漏洞公布时间:2019-06-17 漏洞影响范围:CVE-2019-11477: SACK Panic (Linux >= 2.6.29) 漏洞概述: A sequence of SACKs may be crafted such that one can trigger an integer overflow, leading to a kernel panic. 漏洞详情: 首先...
linux CVE-2021-4034漏洞复现和修复建议
weixin_42540999的博客
02-10 4165
修复前 1.查看系统版本(使用centos7.5系统) 2.查看polkit版本 3.漏洞复现POC ①新建普通用户 ②上传POC到服务器并进行编译 ③切换普通用户并进行执行(可看出提权成功,已为root权限) 漏洞修复 1.临时解决方法 ①删除pkexec的SUID-bit权限来缓解该漏洞风险 chmod 0755 /usr/bin/pkexec ②修复验证(已无法进行提权) 2.进行版本补丁的更新 ①centos官方已更新补丁 ②下载补丁包并上传至服务器 rpm -Uvh polkit
Linux Polkit 权限提升漏洞CVE-2021-4034)在 CentOS 6 系统上修复升级的 rpm 离线包
05-15
Linux Polkit 权限提升漏洞CVE-2021-4034)在 CentOS 6 系统上修复升级的 rpm 离线包
openssh8.8p1 for centos7 or rhel7 rpm包,可直接升级,无需源码编译
12-03
openssh8.8p1 rpm 升级包,适用于RHEL7/CENTOS7,其它版本的也可以联系我,时间允许的话我会帮大家做的。 openssh8.8p1取消了部份弱算法,所以有些低版本的软件会无法连接,更换到新版本后即可正常连接。
CentOS7一键升级Openssh8.8p1shell脚本
04-23
在本例中,提供了一个名为"CentOS7一键升级Openssh8.8p1shell脚本"的工具,它的目的就是帮助用户快速、简便地将CentOS 7上的OpenSSH服务升级到8.8p1版本,这个版本修复了上述的安全漏洞。 OpenSSH的升级过程一般...
服务器检查检测修复漏洞工具
02-15
服务器安全工具 v0.8 1.目前该工具只作为辅助查找,站长可自行添加正则表达式。 2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。 3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。 4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。 5.开关机时间检查,可发现非正常关机事件 6.映像劫持管理,可查看、添加、删除现有映像劫持列表 7.数字签名验证可用于文件校验发现未签名的非系统文件 8.下载地址转换方便用户下载其他下载软件的专用链(支持迅雷/快车/旋风) 9.系统登陆时间检查功能可方便用户检查非工作时间段的非法登陆
cve-2019-11477--2019-06-17-1629.sh
06-27
Linux 内核TCP “SACK Panic” 远程拒绝服务漏洞-cve-2019-11477 检测脚本。
suse linux bash漏洞,bash漏洞: CVE-2014-6271漏洞及紧急修复方法
weixin_33397740的博客
05-16 404
最近linux的bash漏洞闹得沸沸扬扬,问题还是挺严重的,我这里提醒大家一下早日修复吧!如何验证$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'在终端中运行上面的命令,如果返回有vulnerable,就说明这台服务器中枪了。把命令中的bash替换成其他类型的shell,可以检查机器上其他shell是否中枪。如何修复系统Bug* GN...
linux7 cve源码修复,Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法
weixin_34626572的博客
05-12 159
1 直接升级内核修复(需重启机器)#下载漏洞检测脚本#[root@CentOS7 ~]# wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh#[root@CentOS7 ~]# ll总用量 36-rw-------. 1 root root 1608 3月 19 09:44 ...
linux服务器漏洞修复软件,linux漏洞修复_小白篇
weixin_42191359的博客
04-29 881
linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。前提Tomcat:查看版本号cd /usr/tomcat9/bin/;./version.sh查看服务状态FastGateServer.sh status配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xmlHttpd:查...
centOS7.4中Wget高危漏洞 CVE-2017-13090 高危、CVE-2017-13089 高危
ky1in93的博客
04-27 3335
简介:GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。 GNU Wget 1.19.2之前的版本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。 解决方案:请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。使用命令:...
Centos确认CVE修复
u012967763的专栏
02-14 1000
当有大量CVE需要确认时,在环境上一个个查很麻烦,写了一个shell脚本可以自动化确认哪些CVE已经修复,哪些没有修复。dai 代码如下。 ################################################ #功能:判断CVE_List.txt文件中的CVE修复情况 #入参:CVE_List.txt文件的绝对路径 ########################...
Centos7修复OpenSSL拒绝服务漏洞(CVE-2022-0778)
羊毛毯的专栏
04-07 9354
Centos7修复OpenSSL拒绝服务漏洞(CVE-2022-0778) 。sshd服务漏洞修复
Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法
weixin_34380948的博客
06-20 1876
CVE-2019-11477漏洞简单介绍 https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68 RedHat用户可以使用以下脚本来检查系统是否存在漏洞 https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值