預警 | Linux 爆“SACK Panic”遠程DoS漏洞,大量主機受影響

2019-06-20

近日,安全中心監測到Linux 內核被曝存在TCP “SACK Panic” 遠程拒絕服務漏洞(漏洞編號:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻擊者可利用該漏洞遠程攻擊目標服務器,導致系統崩潰或無法提供服務。

 

為避免您的業務受影響,快之網建議Linux系統用戶及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者入侵。

 

【風險等級】

高風險

 

【漏洞風險】

 

遠程發送特殊構造的攻擊包,導致目標 Linux 或 FreeBSD 服務器崩潰或服務不可用。

 

【漏洞詳情】

 

騰訊云安全中心情報平臺監測到 Netflix 信息安全團隊研究員Jonathan Looney發現 Linux 以及 FreeBSD 等系統內核上存在嚴重遠程DoS漏洞,攻擊者可利用該漏洞構造并發送特定的 SACK 序列請求到目標服務器導致服務器崩潰或拒絕服務。

 

【影響版本】

 

目前已知受影響版本如下:

FreeBSD 12(使用到 RACK TCP 協議棧)

CentOS 5(Redhat 官方已停止支持,不再提供補丁)

CentOS 6

CentOS 7

Ubuntu 18.04 LTS

Ubuntu 16.04 LTS

Ubuntu 19.04

Ubuntu 18.10


【安全版本】

 

各大Linux發行廠商已發布內核修復補丁,詳細內核修復版本如下:

CentOS 6 :2.6.32-754.15.3

CentOS 7 :3.10.0-957.21.3

Ubuntu 18.04 LTS :4.15.0-52.56

Ubuntu 16.04 LTS:4.4.0-151.178

FreeBSD:騰訊云官方提供的 FreeBSD 鏡像默認不受該漏洞影響,請放心使用。

 

【修復建議】

 

升級您的 Linux Server 到上述【安全版本】,詳細操作如下:

 

?【CentOS 6/7 系列用戶】

注:截止文章發布,CentOS官方暫未同步內核修復補丁到軟件源,建議用戶及時關注補丁更新情況并開展相應升級工作。升級方式如下:

1. yum clean all && yum makecache,進行軟件源更新;

2. yum update kernel  -y,更新當前內核版本;

3. reboot,更新后重啟系統生效;

4. uname -a,檢查當前版本是否為上述【安全版本】,如果是,則說明修復成功。

 

?【Ubuntu 16.04/18.04 LTS 系列用戶】

1. sudo apt-get update && sudo apt-get install linux-image-generic,進行軟件源更新并安裝最新內核版本;

2. sudo reboot,更新后重啟系統生效;

3. uname -a,檢查當前版本是否為【安全版本】,如果是,則說明修復成功。

如果用戶不方便重啟進行內核補丁更新,可選擇臨時緩解方案

運行如下命令禁用內核 SACK 配置防范漏洞利用:

sysctl -w net.ipv4.tcp_sack=0

 

 

【漏洞參考】

 

  [1]官方通告:

http://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

  [2]社區參考:

http://www.openwall.com/lists/oss-security/2019/06/17/5

  [3]紅帽公告:

http://access.redhat.com/security/vulnerabilities/tcpsack



電話

24小時熱線:

日本三级香港三级人妇4006-371-379

咨詢電話:

0371-55056677

日本三级香港三级人妇0371-55056699


舉報

“掃黃打非”舉報專區:


日本三级香港三级人妇您可以通過郵箱舉報的方式向我們舉報不良信息,將舉報類型、舉報網址、舉報IP、舉報描述、違法截圖以及您的聯系方式等信息發送至我們的郵箱:

support@htuidc.com

var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?44d5929b98ed1fd093ffc3d47ec712b9"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); document.writeln("");