关于Linux TCP "SACK PANIC" 远程拒绝服务漏洞的修复
Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务
漏洞详情
近日,腾讯云安全中心情报平台监测到 Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。
影响版本
目前已知受影响版本如下:
- FreeBSD 12(使用到 RACK TCP 协议栈)
- CentOS 5(Redhat 官方已停止支持,不再提供补丁)
- CentOS 6
- CentOS 7
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 19.04
- Ubuntu 18.10
安全版本
各大Linux发行厂商已发布内核修复补丁,没漏洞的内核版本如下:
- CentOS 6 :2.6.32-754.15.3
- CentOS 7 :3.10.0-957.21.3
- Ubuntu 18.04 LTS:4.15.0-52.56
- Ubuntu 16.04 LTS:4.4.0-151.178
修复方法
请参照上述【安全版本】升级您的 Linux 服务器内核,参考操作如下:
CentOS
推荐方案:【CentOS 6/7 系列用户】
yum clean all && yum makecache,进行软件源更新;yum update kernel -y,更新当前内核版本;reboot,更新后重启系统生效;uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。
Ubuntu
推荐方案:【Ubuntu 16.04/18.04 LTS 系列用户】
sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;sudo reboot,更新后重启系统生效;uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。
Temp
临时缓解方案:如用户不方便重启进行内核补丁更新,可选择如下方式禁用内核 SACK配置防范漏洞利用(可能会对网络性能产生一定影响),运行如下命令即可:
echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf,禁用 SACK 配置;sysctl -p,重载配置,使其生效。
参考
- 官方通告:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
- 社区参考:https://www.openwall.com/lists/oss-security/2019/06/17/5
- 红帽公告:https://access.redhat.com/security/vulnerabilities/tcpsack
- 腾讯公告:https://cloud.tencent.com/announce/detail/622
附录
我服务器是CentOS,所以以其为示例:
# 进行软件源更新
[root@VM_0_3_centos ~]# yum clean all && yum makecache
Loaded plugins: fastestmirror, langpacks
Cleaning repos: epel extras librehat-shadowsocks os updates
Cleaning up list of fastest mirrors
Loaded plugins: fastestmirror, langpacks
Determining fastest mirrors
epel | 5.3 kB 00:00:00
extras | 3.4 kB 00:00:00
librehat-shadowsocks | 3.0 kB 00:00:00
os | 3.6 kB 00:00:00
updates | 3.4 kB 00:00:00
(1/22): epel/7/x86_64/group_gz | 88 kB 00:00:01
(2/22): epel/7/x86_64/updateinfo | 978 kB 00:00:01
(3/22): epel/7/x86_64/prestodelta | 717 B 00:00:00
(4/22): epel/7/x86_64/filelists_db | 11 MB 00:00:06
(5/22): epel/7/x86_64/primary_db | 6.8 MB 00:00:15
(6/22): epel/7/x86_64/updateinfo_zck | 1.4 MB 00:00:00
(6/22): epel/7/x86_64/updateinfo_zck | 1.4 MB 00:00:00
(6/22): epel/7/x86_64/updateinfo_zck | 1.4 MB 00:00:00
(6/22): epel/7/x86_64/updateinfo_zck | 1.4 MB 00:00:00
(6/22): epel/7/x86_64/updateinfo_zck | 1.4 MB 00:00:00
(7/22): extras/7/x86_64/prestodelta | 65 kB 00:00:01
(8/22): extras/7/x86_64/primary_db | 205 kB 00:00:01
(9/22): extras/7/x86_64/other_db | 127 kB 00:00:00
(10/22): librehat-shadowsocks/x86_64/filelists_db | 17 kB 00:00:00
(11/22): librehat-shadowsocks/x86_64/primary_db | 23 kB 00:00:00
(12/22): librehat-shadowsocks/x86_64/other_db | 10 kB 00:00:00
(13/22): os/7/x86_64/group_gz | 166 kB 00:00:00
(14/22): os/7/x86_64/primary_db | 6.0 MB 00:00:03
(15/22): os/7/x86_64/filelists_db | 7.1 MB 00:00:05
(16/22): os/7/x86_64/other_db | 2.6 MB 00:00:00
(17/22): updates/7/x86_64/prestodelta | 797 kB 00:00:00
(18/22): updates/7/x86_64/primary_db | 6.4 MB 00:00:01
(19/22): updates/7/x86_64/other_db | 641 kB 00:00:00
(20/22): updates/7/x86_64/filelists_db | 4.4 MB 00:00:05
epel/7/x86_64/other_db
http://mirrors.tencentyun.com/epel/7/x86_64/repodata/24838144a5b86bb0cd90b22255258aeed11691115ae3c35463e471cbae0f2ab9-other.sqlite.bz2: [Errno 12] Timeout on http://mirrors.tencentyun.com/epel/7/x86_64/repodata/24838144a5b86bb0cd90b22255258aeed11691115ae3c35463e471cbae0f2ab9-other.sqlite.bz2: (28, 'Operation too slow. Less than 1000 bytes/sec transferred the last 30 seconds')
Trying other mirror.
(21/22): extras/7/x86_64/filelists_db | 246 kB 00:00:26
(22/22): epel/7/x86_64/other_db | 3.2 MB 00:00:12
Metadata Cache Created
# 更新内核
[root@VM_0_3_centos ~]# yum update kernel -y
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
Resolving Dependencies
--> Running transaction check
---> Package kernel.x86_64 0:3.10.0-957.21.3.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=======================================================================================================================================================================
Package Arch Version Repository Size
=======================================================================================================================================================================
Installing:
kernel x86_64 3.10.0-957.21.3.el7 updates 48 M
Transaction Summary
=======================================================================================================================================================================
Install 1 Package
Total download size: 48 M
Installed size: 63 M
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
kernel-3.10.0-957.21.3.el7.x86_64.rpm | 48 MB 00:00:11
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : kernel-3.10.0-957.21.3.el7.x86_64 1/1
Verifying : kernel-3.10.0-957.21.3.el7.x86_64 1/1
Installed:
kernel.x86_64 0:3.10.0-957.21.3.el7
Complete!
# 重启
[root@VM_0_3_centos ~]# reboot
# 查看内核版本是否为最新的`3.10.0-957.21.3`
[root@VM_0_3_centos ~]# uname -a
Linux VM_0_3_centos 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:35:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
关于Linux TCP "SACK PANIC" 远程拒绝服务漏洞的修复的更多相关文章
- [转帖]预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响
预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响 https://cloud.tencent.com/developer/article/1447879 所有的 版本 ...
- Linux Kernel 远程拒绝服务漏洞
漏洞名称: Linux Kernel 远程拒绝服务漏洞 CNNVD编号: CNNVD-201307-309 发布时间: 2013-07-18 更新时间: 2013-07-18 危害等级: 漏洞类 ...
- Linux Kernel 空指针逆向引用拒绝服务漏洞
漏洞名称: Linux Kernel 空指针逆向引用拒绝服务漏洞 CNNVD编号: CNNVD-201306-449 发布时间: 2013-07-01 更新时间: 2013-07-01 危害等级: ...
- Linux Kernel 多个本地拒绝服务漏洞
漏洞名称: Linux Kernel 多个本地拒绝服务漏洞 CNNVD编号: CNNVD-201308-154 发布时间: 2013-08-12 更新时间: 2013-08-12 危害等级: 漏 ...
- Linux Kernel ‘skbuff.c’本地拒绝服务漏洞
漏洞名称: Linux Kernel ‘skbuff.c’本地拒绝服务漏洞 CNNVD编号: CNNVD-201307-498 发布时间: 2013-07-24 更新时间: 2013-07-24 危害 ...
- Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)
漏洞版本: Apache Group CXF <= 2.5.10 Apache Group CXF 2.7.4 Apache Group CXF 2.6.7 漏洞描述: BUGTRAQ ID: ...
- Linux Kernel ‘test_root()’函数本地拒绝服务漏洞
漏洞名称: Linux Kernel ‘test_root()’函数本地拒绝服务漏洞 CNNVD编号: CNNVD-201306-432 发布时间: 2013-06-25 更新时间: 2013-06- ...
- WordPress ‘crypt_private()’方法远程拒绝服务漏洞
漏洞名称: WordPress ‘crypt_private()’方法远程拒绝服务漏洞 CNNVD编号: CNNVD-201306-250 发布时间: 2013-06-20 更新时间: 2013-06 ...
- 重大漏洞!PHP multipart/form-data头部解析远程拒绝服务漏洞
"有些人看不懂,简单比喻来说吧:目前刚出的任何安全防护都不会拦,网站类专属漏洞 畸形数据包,2KB随机数据包,2M网速打死各种网站,cdn通挂!"PHP multipart/for ...
随机推荐
- [個人紀錄] postgre dump出table 再用psql還原
--dump tablepg_dump --host #server --port 5432 --username #username --format plain --ignore-version ...
- C# VB .NET生成条形码,支持多种格式类型
条形码简单,方便印刷,因此在各个领域得到了广泛的应用.我们自己的项目里也可以将一些特定的数据以条形码的方式来展示和应用,实现一码走天下.那么如何在C#,.Net平台代码里生成条形码呢?答案是使用Sha ...
- Python: 截屏
最近项目中想实现截屏功能,使用的笔记本是高清屏,实际屏幕设置成了150%,所以在截屏的时候遇到个各种问题. 最开始使用PIL ImageGrab来截取屏幕,如果本来是100%的设置没有问题,能截取到全 ...
- PIE SDK归一化水体指数法
1.算法功能简介 归一化指数法(NDWI(Normalized Difference Water Index,归一化水指数)),用遥感影像的特定波段进行归一化差值处理,以凸显影像中的水体信息. 其表达 ...
- Mysql索引底层数据结构与算法
索引是什么 索引是帮助MySQL高效获取数据的排好序的数据结构. 索引存储在文件里 补充知识: 磁盘存取原理: * 寻道时间(速度慢,费时) * 旋转时间(速度较快) 磁盘IO读取效率: * 单次IO ...
- PHP之面向对象(上)
PHP 1,定义:动态交互的计算机语言,弱类型语言 静态交互 html css js 凡是动态交互的都需要服务器phpstudy 2,使用集成服务器phpstudy apache 服务器 m ...
- Python中itertools.groupby分组的使用
Python中itertools.groupby分组的使用 有时候我们需要给一个列表按照某个属性分组,可以借助groupby来实现. 比如:一下列表我想以严重程度给它分组,并求出每组的元素个数. fr ...
- Object.entries和Object.fromEntries
语法 Object.entries(obj) 参数 obj 可以返回其可枚举属性的键值对的对象. 返回值 给定对象自身可枚举属性的键值对数组 语法 Object.fromEntries(iterabl ...
- 由MQTT topic的正则表达式匹配引发的特殊字符"/"匹配思考
正则表达式中的'/'替换 近期项目对接OneNET的MQTT物联网套件,需要完成命令下发流程. 流程要求: (1)设备在接收平台下发的命令(topic为$sys/{pid}/{device-name} ...
- Graph Embedding总结
图嵌入应用场景:可用于推荐,节点分类,链接预测(link prediction),可视化等场景 一.考虑网络结构 1.DeepWalk (KDD 2014) (1)简介 DeepWalk = Rand ...