当前位置:找DLL下载站系统新闻软件疑难安全资讯 → Linux内核TCP SACK机制远程拒绝服务漏洞

Linux内核TCP SACK机制远程拒绝服务漏洞

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2019/6/20 8:11:50

漏洞描述

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。


漏洞评级

CVE-2019-11477 高危

CVE-2019-11478 中危

CVE-2019-11479 中危


安全修复建议



注:以下任意一种修复方式都有可能造成业务不可用



一、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0



二、升级Linux安全补丁(需要重启服务器)

Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic

Centos 系列:yum update kernel

其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

三、缓解规则:

iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

相关链接

https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party

RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh