2019年6月18日,本站安全专题监控到国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。
漏洞描述
Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。
漏洞评级
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危
安全修复建议
注:以下任意一种修复方式都有可能造成业务不可用
一、禁用SACK机制功能,执行如下命令:
2
sysctl -w net.ipv4.tcp_sack=0
二、升级Linux安全补丁(需要重启服务器)
Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic 或使用云安全中心漏洞一键修复功能,搜索漏洞编号:USN-4017-1:
Centos 系列:yum update kernel 或 使用云安全中心漏洞一键修复功能,搜索漏洞编号:RHSA-2019:1488和RHSA-2019:1481:
其他Linux 补丁可参考:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001
相关链接
https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party
RedHat系统用户可使用官方脚本检测漏洞是否存在:https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
安全专题
2019.6.18
