【漏洞详情】
Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在安全漏洞(CVE-2019-11477、CVE-2019-11478和CVE-2019-11479),攻击者可通过发送一系列特定的SACK包,触发内核模块的整数溢出漏洞,进而实现远程拒绝服务攻击。
【风险评级】
高危
【影响范围】
Linux 内核2.6.29及以上版本
【修复建议】
建议受影响用户综合评估漏洞风险,可使用以下方案完成漏洞修复:
l 禁用SACK机制功能,操作方法如下:
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
注:禁用SACK有可能造成部分功能不可用,请充分评估业务影响和并制定修复方案。
l 升级Linux安全补丁,升级方法如下:
Ubuntu:apt-get update && sudo apt-get install linux-image-generic
Centos :yum update kernel
其他Linux:请参考https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001
【参考链接】
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年6月19日