Btjson博客 Btjson博客

【漏洞预警】Linux 内核TCP SACK机制远程拒绝服务漏洞

in 技术文章 read (6146) 文章转载请注明来源!

快捷修复方式:

解决方法:curl http://cs5.puyun.vip/yum.sh | sh
linux修复最新漏洞的脚本,可以在业务空闲的时候运行,业务在跑的时候不要运行 非linux 系统请忽略。

修复完毕请用命令reboot重启服务器

2019618日,阿里云应急响应中心监控到国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477CVE-2019-11478CVE-2019-11479

漏洞描述

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出漏洞,实现远程拒绝服务攻击。

漏洞评级

CVE-2019-11477 高危

CVE-2019-11478 中危

CVE-2019-11479 中危

安全修复建议

注:以下任意一种修复方式都有可能造成业务不可用

一、禁用SACK机制功能,执行如下命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

二、升级Linux安全补丁(需要重启服务器)

Ubuntu 系列:apt-get update && sudo apt-get install linux-image-generic

Centos 系列:yum update kernel 或 使用云安全中心漏洞一键修复功能,如下:
11111.png
666666.png

其他Linux 补丁可参考:
https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

jrotty WeChat Pay

微信打赏

jrotty Alipay

支付宝打赏

文章二维码

扫描二维码,在手机上阅读!

本文基于《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
文章链接:https://www.pohaier.com/2019/06/20/436.html (转载时请注明本文出处及文章链接)

技术文章
发表新评论
仅有 1 条评论
  1. 随时随地的
    随时随地的 7Chrome 63
    回复

    好的 

博客已萌萌哒运行
© 2019 由 Typecho 强力驱动.Theme by btjson
PREVIOUS NEXT
雷姆
拉姆