zoukankan      html  css  js  c++  java
  • Linux内核中TCP SACK机制远程DoS预警通告

    漏洞描述

    2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重,建议广大用户及时更新。

    影响版本

    影响Linux 内核2.6.29及以上版本

    修复方案

    (1)及时更新补丁

    https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

    Linux内核版本>=4.14需要打第二个补丁

    https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

    (2)禁用SACK处理

    echo 0 > /proc/sys/net/ipv4/tcp_sack

    (3)使用过滤器来阻止攻击

    https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md

    此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)

    (4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞

    https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

    下载后用记事本打开全选复制粘贴在linux执行sh文件即可,如图(这是未更新补丁前):

    参考链接

    https://access.redhat.com/security/vulnerabilities/tcpsack

  • 相关阅读:
    (转)贝叶斯推理及应用
    (转)zero copy原理
    (转)c指针问题
    (转)c++ new/delete,new[]/delete[]原理解析
    (转)Spring AOP编程原理、Demo
    (转)spring IOC、DI理解
    Django小例子 – 模型数据的模板呈现
    初探Django Admin(一)
    Windows7下搭建Django运行环境
    初探Django线程发送邮件
  • 原文地址:https://www.cnblogs.com/Crazy-Liu/p/11078474.html
Copyright © 2011-2022 走看看