最新動態

【漏洞預警】Linux 內核TCP SACK機制遠程拒絕服務漏洞

2019-06-20

【漏洞預警】Linux 內核TCP SACK機制遠程拒絕服務漏洞

近日,華云安全中心監測到 Linux 內核被曝存在TCP “SACK PANIC” 遠程拒絕服務漏洞(漏洞編號:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻擊者可利用該漏洞遠程攻擊目標服務器,導致系統崩潰或無法提供服務。
為避免您的業務受到影響,建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者入侵。

【漏洞詳情】
近日,Netflix 信息安全團隊研究員Jonathan Looney發現 Linux系統內核上存在嚴重遠程DoS漏洞,攻擊者可利用該漏洞構造并發送特定的 SACK 序列請求遠程觸發Linux服務器內核模塊溢出漏洞,導致服務器崩潰或拒絕服務。

【風險等級】
CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危

【影響版本】
目前已知受影響版本如下:
CentOS 5(Redhat 官方已停止支持,不再提供補丁)
CentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 19.04
Ubuntu 18.10

【安全版本】
各大Linux發行廠商已發布內核修復補丁,詳細內核修復版本如下:
CentOS 6:2.6.32-754.15.3
CentOS 7:3.10.0-957.21.3
Ubuntu 18.04 LTS:4.15.0-52.56
Ubuntu 16.04 LTS:4.4.0-151.178

【修復建議】
注意:以下升級內核或者臨時緩解方案的方式都有可能造成業務使用上問題,請在操作前進行業務評估。選擇內核修復方式建議先對系統進行快照,升級內核后如果有問題可使用快照進行恢復。

推薦方案:
1、請參照上述【安全版本】升級您的 Linux 服務器內核,參考操作如下:
CentOS 6/7系列服務器:
1)yum clean all && yum makecache,進行軟件源更新;
2)yum update kernel -y,更新當前內核版本;
3)reboot,更新后重啟系統生效;
4)uname -a,檢查當前版本是否為上述【安全版本】,如果是,則說明修復成功。

Ubuntu 16.04/18.04 LTS系列服務器
1)sudo apt-get update && sudo apt-get install linux-image-generic,進行軟件源更新并安裝最新內核版本;
2)sudo reboot,更新后重啟系統生效;
3)uname -a,檢查當前版本是否為【安全版本】,如果是,則說明修復成功。

2、臨時緩解方案:如用戶不方便重啟進行內核補丁更新,可選擇如下方式禁用內核 SACK配置防范漏洞利用,運行如下命令:
1)echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf ,禁用 SACK 配置;
2)sysctl -p ,重載配置,使其生效。

【漏洞參考】
1) 官方通告://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
2)社區參考://www.openwall.com/lists/oss-security/2019/06/17/5
3)紅帽公告://access.redhat.com/security/vulnerabilities/tcpsack


華云數據集團有限公司
2019.6.20