修复Linux系统内核TCP漏洞,修复Linux TCP "SACK PANIC" 远程拒绝服务漏洞

最新推荐文章于 2021-09-23 18:25:38 发布
最新推荐文章于 2021-09-23 18:25:38 发布
阅读量128 收藏
点赞数
文章标签: 修复Linux系统内核TCP漏洞

Loading...

漏洞详情

----

Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。

漏洞风险

----

远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。

受影响版本

-----

已知受影响版本如下:

FreeBSD 12(使用到 RACK TCP 协议栈)

CentOS 5(Redhat 停止支持,不再提供补丁)

CentOS 6

CentOS 7

Ubuntu 18.04 LTS

Ubuntu 16.04 LTS

Ubuntu 19.04

Ubuntu 18.10

安全版本

----

Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:

CentOS 6 :2.6.32-754.15.3

CentOS 7 :3.10.0-957.21.3

Ubuntu 18.04 LTS:4.15.0-52.56

Ubuntu 16.04 LTS:4.4.0-151.178

漏洞的修复

-----

注:以下两种修复方式有可能会对业务造成不可用影响;

请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:

推荐方案:【**CentOS 6/7 系列用户**】

1)yum clean all && yum makecache,进行软件源更新;

2)yum update kernel -y,更新当前内核版本;

3)reboot,更新后重启系统生效;

4)uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。

推荐方案:【**Ubuntu 16.04/18.04 LTS 系列用户**】

1)sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;

2)sudo reboot,更新后重启系统生效;

3)uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。

临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用(可能会对网络性能产生一定影响),运行如下命令即可:

1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;

2)sysctl -p ,重载配置,使其生效。

参考链接

----

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

最后修改:2019 年 06 月 27 日 08 : 55 AM

© 允许规范转载

赞赏

如果觉得我的文章对你有用,请随意赞赏

×Close

赞赏作者

扫一扫支付

png;base64,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

png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAABS2lUWHRYTUw6Y29tLmFkb2JlLnhtcAAAAAAAPD94cGFja2V0IGJlZ2luPSLvu78iIGlkPSJXNU0wTXBDZWhpSHpyZVN6TlRjemtjOWQiPz4KPHg6eG1wbWV0YSB4bWxuczp4PSJhZG9iZTpuczptZXRhLyIgeDp4bXB0az0iQWRvYmUgWE1QIENvcmUgNS42LWMxMzggNzkuMTU5ODI0LCAyMDE2LzA5LzE0LTAxOjA5OjAxICAgICAgICAiPgogPHJkZjpSREYgeG1sbnM6cmRmPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5LzAyLzIyLXJkZi1zeW50YXgtbnMjIj4KICA8cmRmOkRlc2NyaXB0aW9uIHJkZjphYm91dD0iIi8+CiA8L3JkZjpSREY+CjwveDp4bXBtZXRhPgo8P3hwYWNrZXQgZW5kPSJyIj8+IEmuOgAAAA1JREFUCJljePfx038ACXMD0ZVlJAYAAAAASUVORK5CYII=

支付宝支付

微信支付

Elder Ha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统加固
悦分享
07-23 1472
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
linux-内核参数优化参考指标
dlm520947的博客
07-30 2489
民间最全的Linux系统内核参数调优说   相信做运维的同仁,进行运维环境初建时,必须要考虑到操作系统内核参数的优化问题,本人经历数次的运维环境重建后,决定要自行收集一份比较完善的系统内核参数优化说明文件出来,于是就有了下文,本文当前值是官方默认参数,建议参数直接添加于sysctl -a输出的结果每一行的后面,希望对运维的同仁做系统内核参数调优时有所帮助。废话不多讲,直接上干货! ...
预警 | Linux 爆“SACK Panic远程DoS漏洞,大量主机受影响
qcloud_security的博客
06-18 725
近日,腾讯云安全中心监测到Linux 内核被曝存在TCPSACK Panic远程拒绝服务漏洞漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。 为避免您的业务受影响,云鼎实验室建议Linux系统用户及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外...
linux内核系列远程拒绝服务漏洞,预警 | Linux 爆“SACK Panic远程DoS漏洞,大量主机受影响...
weixin_39846664的博客
05-03 116
近日,腾讯云安全中心监测到Linux 内核被曝存在TCPSACK Panic远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。为避免您的业务受影响,云鼎实验室建议Linux系统用户及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵...
修复Linux系统内核TCP漏洞,Linux TCPSACK PANIC远程拒绝服务漏洞修复
weixin_36429576的博客
04-30 309
近日Linux 内核被曝存在TCPSACK PANIC远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。【漏洞详情】近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标...
关于Linux TCP "SACK PANIC" 远程拒绝服务漏洞修复
weixin_30492047的博客
06-30 217
Linux 内核被曝存在TCPSACK PANIC远程拒绝服务漏洞漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务 漏洞详情 近日,腾讯云安全中心情报平台监测到 Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBS...
修复Linux系统内核TCP漏洞,如何修复Linux内核存在的TCP漏洞
weixin_42402228的博客
04-30 304
描述卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“Segme...
【服务器优化】Linux内核tcp调优方案,sysctl.conf的设置。解释各参数含义
hytfly的专栏
12-01 1万+
#sudo vi /etc/sysctl.conf  $ /proc/sys/net/core/wmem_max 最大socket写buffer,可参考的优化值:873200 $ /proc/sys/net/core/rmem_max 最大socket读buffer,可参考的优化值:873200 $ /proc/sys/net/ipv4/tcp_wmem TCP写buf
cve-2019-11477--2019-06-17-1629.sh
06-27
Linux 内核TCPSACK Panic远程拒绝服务漏洞-cve-2019-11477 检测脚本。
Centos系统内核优化参数列表
l619872862的博客
10-28 2089
Centos系统优化参数列表前言一、内存参数列表 /proc/sys/vm/*二、内核参数列表 /proc/sys/kernel/*三、网络参数列表 /proc/sys/net/*四、文件系统参数列表 /proc/sys/fs/* 前言 在centos中 sysctl -a 显示当前系统中可用的内核参数 Linux修改内核参数有三种方式: (1)修改 /etc/sysctl.conf 文件,加入配置选项,格式为 key = value ,修改保存后调用 sysctl -p 加载新配置(此种方式在系统重新启
sack linux漏洞,【安全公告】Linux 内核 TCP SACK 漏洞风险通告
weixin_31299075的博客
05-16 144
近日,业内发布安全公告,Linux 内核在处理 TCP SACK(Selective Acknowledgement)时存在三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),攻击者可通过该漏洞远程发送攻击包造成拒绝服务攻击,影响程度严重。影响范围:该漏洞目前已知影响使用 Linux 内核 2.6.29 及以上版本的发行版,包括(但不限于)如下系统...
修复Linux系统内核TCP漏洞,Linux 内核TCP SACK机制远程Dos漏洞处理方法(CVE-2019-11477) | 聂扬帆博客...
weixin_30772189的博客
04-30 186
0x00 漏洞描述2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。0x01 影响版本影响Linux 内核2.6.2...
Linux软件漏洞修复指南
胡毛毛的博客
09-14 3957
Linux软件漏洞 更新时间:2021年9月14日 10:54:05 云安全中心支持检测并在控制台一键修复Linux软件漏洞。本文档介绍了如何查看Linux软件漏洞的相关信息和对Linux软件漏洞进行处理。 版本限制说明 云安全中心免费版和防病毒版只提供漏洞检测,不提供漏洞修复的服务;如需一键修复漏洞,请开通云安全中心高级版、企业版或旗舰版。各版本详细功能介绍,请参见功能特性。 查看漏洞基本信息 登录云安全中心控制台。 在左侧导航栏,选择安全防范 > 漏洞修复。 在Linux软件漏洞页面的
Linux漏洞修复原理
qq_35530330的博客
07-17 3065
最近登陆阿里云服务器,无意间看到服务其有很多漏洞,平常登陆的时候也没有太注意;既然有漏洞,就修复一下吧,在哪显示着太碍眼了。 服务器为什么会出现漏洞 服务器为什么会无缘无故的出现漏洞呢?这个我刚开始也不知道为什么,毕竟我不是做运维的;网上搜索了很多资料,大概了解了为什么会出现漏洞。 这是因为服务器的插件也是被设计出来的,也是使用代码写出来的;有可能在设计的过程中或者在写代码的过程中会存在一些没有像...
Linux 内核修复5个高危漏洞
smellycat000的专栏
03-04 1119
聚焦源代码安全,网罗国内外最新资讯!作者:Steven J. Vaughan-Nichols编译:奇安信代码卫士团队Positive Technologies 公司的Linux 安全开...
安全漏洞干货-linux漏洞修复命令
明哥哥知识分享
09-23 833
1、漏洞名称:RHSA-2019:2197: elfutils security,bug fix,和 enhancement update 修复命令:yum update elfutils-default-yama-scope -y &&yum update elfutils-libelf -y &&yum update elfutils-libs -y cve编号:CVE-2018-16062,CVE-2018-16402,CVE-2018-16403,CVE-2018-1
服务器安全漏洞修复
Linux小弟的博客
01-29 5280
1************************2017年8月发现漏洞1***************************** 漏洞名称: RHSA-2017:1100: nss and nss-util security update (Critical)     级别:高危 请参照Redhat安全公告RHSA-2017:1100了解受到影响的软件包和补丁细节,并对相应的软件包进行升
TCP/IP详解--TCP首部选项中时间戳选项的作用
热门推荐
鱼思故渊的专栏
10-14 2万+
TCP选项字段中为TCP预留有时间戳功能,不管在网络层面还是应用层面,TCP时间戳往往被大家认为是一个系统行为,并忽略其存在。其实在某些环境下,TCP时间戳同样可以成为大家在时延问题troubleshooting定位时的一个利器。 首先,让我们先来回顾一下TCP时间戳的理论知识。 1) TCP时间戳位于TCP选项中,kind=8;lenth=10;data由timestamp和timesta
linux tcp窗口大小设置,高性能LinuxTCP/IP内核参数调优之TCP窗口扩大因子(TCP Window Scaling)选项(理论篇)...
weixin_36223355的博客
05-04 6015
TCP报文窗口字段介绍在TCP报文头部,有一个16比特的窗口字段,用来表示接受方的缓冲区大小,发送方可以根据这个值的大小来调节发送的数据量,从而起到流控的目的。TCP的流量控制由连接的每一端通过声明的窗口大小来提供 。窗口大小为字节数 ,起始于确认序号字段指明的值,这个值是接收端期望接收的字节。窗口大小是一个16 bit字段,因而窗口大小最大为65535字节。窗口大小对性能的影响TCP基于通告窗口...
Linux TCP/IP调优参数详解与设置
Linux操作系统中,对TCP/IP协议栈进行调优是提高网络性能的关键步骤。TCP/IP调优参数主要位于`/proc/sys/net`目录下,这些参数允许管理员调整网络连接的行为以适应不同的工作负载和网络环境。以下是一些重要的TCP/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值