linux oracle 漏洞,Oracle Database 环境整改建议应对 Linux TCP SACK PANIC 内核安全高危漏洞 CVE-2019-11477...

北京时间6月18日,Netflix信息安全研究员Jonathan Looney在Linux以及FreeBSD等系统内核中发现存在严重远程拒绝服务漏洞,在 Linux 内核处理 TCP 网络数据的操作中发现了三个相关的安全漏洞。  其最严重的安全漏洞会被远程攻击者利用在运行受影响软件的系统上触发一个内核崩溃,从而影响到系统的可用性。

其中前两个与 SACK(Selective Acknowledgement,选择性确认)数据包和 MSS(Maximum Segment Size,最大分段长度)相关,第三个只与 MSS 相关。

SACK

TCP 选择性确认(Selective Acknowledgment,简称 SACK)是一种确认机制,数据接收方通过它告知发送方已被成功接受的所有数据段。这样,发送方就可以重新发送那些没有出现在 ‘known good’ 数据中的数据段。如果 TCP SACK 被禁用,则需要在某些数据丢失时重新发送包括大量数据的所有数据流。

MSS

MSS(maximum segment size,最大分段长度)是在数据包的 TCP 报头中设置的一个参数,它指定了在一个重新构建的 TCP 数据段中数据的总量。

当数据包通过不同路由进行传输的过程中可能会被分隔为多个数据段,主机需要把 MSS 设置为和主机可以处理的最大 IP 数据报中实际数据量相同的值。一个大的 MSS 值可能意味着一个数据包流在传输到目的地址过程中被分隔为多个数据段,对于较小的数据包,这可以确保较少的数据段,但可能会导致一些无用的资源消耗。

到目前为止,这些安全漏洞的影响还只限于 DoS 攻击。目前还没有发现这些安全漏洞会导致访问权限升级及信息泄露的问题。

当然对于政策还是因为“护网”特殊时期,对于该风险的修改方案1,禁用TCP_SACK; 2, 安装安全补丁或升级kernel;

目前Red Hat, Oracle linux UEK , CentOS, Suse , Ubuntu 系列都已提供的补丁。

解决方案

一、 禁用Linux内核SACK机制(不需要重启服务器)

命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack

sysctl -w net.ipv4.tcp_sack=0

二、升级Linux安全补丁(需要重启服务器)

根据不同Linux 厂家的选择,下载安装相应的补丁或升级内核 , 对于oracle 数据库环境可能还需要relink oracle。

Oracle 数据库环境

对于安装现在运行oracle 数据库的环境,ANBOB建议使用方案一,  禁用tcp_sack的方式解决SACK问题高危。

echo 0 > /proc/sys/net/ipv4/tcp_sack

1, 根据这篇Linux安全加固 的建议Turn off the tcp_sack

2,对于EXALOGIC 同样也是禁用tcp_stack 解决network package loss

3, UEKr4 kernel poor network performance related to network packets acknowledgement 同样也是建议禁用 tcp_sack

4, 同时注意使用NFS(非oracle标配)的环境是否在禁用tcp_sack后出现df 变慢

References :

https://www.anquanke.com/post/id/180765

https://access.redhat.com/zh_CN/security/vulnerabilities/4233431

打赏

8732971891f4ba05583674ca6b8145ac.png微信扫一扫,打赏作者吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值