漏洞分析
? Linux內(nèi)核處理TCP網(wǎng)絡(luò)數(shù)據(jù)包時(shí)候存在缺陷導(dǎo)致三個(gè)漏洞糊秆,CVE編號(hào)分別為:CVE-2019-11477,CVE-2019-11478和CVE-2019-11479棋返。漏洞僅可以用于DOS拒絕攻擊,不涉及信息泄露或者權(quán)限提升。
? CVE-2019-11477 是最嚴(yán)重的四個(gè)缺陷契吉,被稱作 “SACK panic”宅荤,即Linux內(nèi)核的TCP選擇性確認(rèn)(TCP SelectiveAcknowledgement 簡(jiǎn)稱SACK)功能屑迂。
? 遠(yuǎn)程攻擊者可以利用這個(gè)漏洞來觸發(fā)可能導(dǎo)致計(jì)算機(jī)崩潰的內(nèi)核錯(cuò)誤(Kernel panic),進(jìn)而引起拒絕服務(wù)冯键。波及Linux內(nèi)核版本2.6.29以及高于2.6.29以上版本惹盼。
修復(fù)方式
? 使用yum更新內(nèi)核獲取補(bǔ)丁升級(jí):
sudo yum update kernel -y
? 升級(jí)完成后需重啟系統(tǒng)生效。
緩解措施
? 若暫時(shí)不方便重啟系統(tǒng)惫确,可使用以下方式暫時(shí)處理手报。
第一步:禁用tcp_sack
sudo sysctl -w net.ipv4.tcp_sack=0
第二步:使用系統(tǒng)防火墻過濾阻止與低MSS的連接
- 使用iptables
sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
sudo ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
service iptables save #保存
- 使用firewalld
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
firewall-cmd -reload #保存
使用檢測(cè)腳本驗(yàn)證修復(fù)結(jié)果
? RedHat提供相應(yīng)漏洞檢測(cè)腳本工具 https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
? 升級(jí)內(nèi)核前:
? 采用緩解措施后:
? 升級(jí)內(nèi)核并重啟后:
