漏洞描述
2019年6月18日,RedHat官網發布報告:安全研究人員在Linux內核處理TCP SACK數據包模塊中發現了三個漏洞,CVE編號為CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能夠降低系統運行效率,並可能被遠程攻擊者用於拒絕服務攻擊,影響程度嚴重,建議廣大用戶及時更新。
影響版本
影響Linux 內核2.6.29及以上版本
修復方案
(1)及時更新補丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch
Linux內核版本>=4.14需要打第二個補丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch
(2)禁用SACK處理
echo 0 > /proc/sys/net/ipv4/tcp_sack
(3)使用過濾器來阻止攻擊
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
此緩解需要禁用TCP探測時有效(即在/etc/sysctl.conf文件中將net.ipv4.tcp_mtu_probingsysctl設置為0)
(4)RedHat用戶可以使用以下腳本來檢查系統是否存在漏洞
https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
下載后用記事本打開全選復制粘貼在linux執行sh文件即可,如圖(這是未更新補丁前):
參考鏈接
https://access.redhat.com/security/vulnerabilities/tcpsack