漏洞描述
Linux内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出,导致系统奔溃或者无法提供服务,实现远程拒绝服务攻击。
漏洞风险
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 低危
影响版本
FreeBSD 12 (使用到RACK TCP协议栈)
CentOS 5 (Redhat官方已停止支持,不在提供补丁)
CentOS 6
CentOS 7
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 18.10
Ubuntu 19.04
安全版本
各大linux发行厂商已经发布了内核修复补丁,详细内核修复版本如下:
CentOS 6: 2.6.32-754.15.3
CentOS 7: 3.10.0-957.21.3
Ubuntu 18.04 LTS: 4.15.0-52.56
Ubuntu 16.04 LTS: 4.4.0-151.178
修复建议
1.禁用SACK机制功能,执行命令如下:
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
2.升级Linux Sever到上述安全版本。
注意:以上任意一种修复方式都有可能造成业务不可用。
相关连接:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md