< 返回新闻公告列表

最新Linux内核中TCP SACK机制远程DoS预警通告处理

发布时间:2019-06-22 11:37:13    来源: 酷番云




漏洞描述


2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重,建议广大用户及时更新。


u=167912369,1833164600&fm=26&gp=0.jpg


影响版本

影响Linux 内核2.6.29及以上版本

修复方案


(1)及时更新补丁


https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

Linux内核版本>=4.14需要打第二个补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch


(2)禁用SACK处理


echo 0 > /proc/sys/net/ipv4/tcp_sack


(3)使用过滤器来阻止攻击


https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md

此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)


(4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞


https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

参考链接

https://access.redhat.com/security/vulnerabilities/tcpsack


相关推荐

【钜惠活动】6重大礼,最后一波,错过等一年 >>点击查看详情<<

【一元购】CPS代理分销,限时1元购买 >>点击查看详情<<

【免费安装】免费部署宝塔面板和wdcp面板 >>点击查看详情<<