新闻中心

官方公告返回列表

Linux 内核TCP SACK机制远程拒绝服务漏洞

2019618日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477CVE-2019-11478CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。

为避免您的业务受影响,比格云建议用户开展安全自查,如在受影响范围,请您及时进行更新修复

漏洞描述:

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞评级

CVE-2019-11477 高危

CVE-2019-11478 中危

CVE-2019-11479 中危

影响范围:

Linux 内核2.6.29及之后版本。具体影响比格云的镜像版本为:

Ubuntu 14.04

Ubuntu 16.04

Centos6

Centos7

Debian8

 

 

修复方案:

一. 临时方案(禁用SACK机制功能,在受影响的操作系统内执行如下命令)

echo 0 > /proc/sys/net/ipv4/tcp_sack

sysctl -w net.ipv4.tcp_sack=0

 

二.升级内核(需要重启云主机)

Ubuntu / Debian版本

sudo apt-get update

sudo apt-get install linux-image-generic

重启云主机

Centos /RHEL版本

yum clean all && yum makecache

yum update kernel  -y

重启云主机

相关链接:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

https://access.redhat.com/security/vulnerabilities/tcpsack

https://www.anquanke.com/post/id/180509