Linux内核SACK 漏洞可致DoS攻击预警
一、概要
近日,业界发布Linux内核处理器TCP SACK模块三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。
华为云提醒各位租户及时安排自检并做好安全加固。
参考链接:
https://www.suse.com/support/kb/doc/?id=7023928
https://access.redhat.com/security/vulnerabilities/tcpsack
https://www.debian.org/lts/security/2019/dla-1823
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
影响Linux 内核2.6.29及以上版本
四、处置方案
Ø 更新Linux安全补丁(修复后需重启):
Ubuntu / Debian版本:执行命令sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;
Centos /RHEL版本:执行命令yum update kernel -y,更新当前内核版本。
Ø 临时缓解措施:禁用SACK处理(会影响TCP连接处理效率),请在操作前评估对业务可用性的影响。
sysctl -w net.ipv4.tcp_sack=0
echo "net.ipv4.tcp_sack=0" >> /etc/sysctl.conf
- 点赞
- 收藏
- 关注作者
评论(0)