Linux内核TCP SACK Panic远程拒绝服务漏洞

漏洞描述

Linux内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷，攻击者可以构造特定的SACK包，远程触发Linux服务器内核模块溢出，导致系统奔溃或者无法提供服务，实现远程拒绝服务攻击。

漏洞风险

CVE-2019-11477 高危

CVE-2019-11478 中危

CVE-2019-11479 低危

影响版本

FreeBSD 12 (使用到RACK TCP协议栈)

CentOS 5 (Redhat官方已停止支持，不在提供补丁)

CentOS 6

CentOS 7

Ubuntu 16.04 LTS

Ubuntu 18.04 LTS

Ubuntu 18.10

Ubuntu 19.04

安全版本

各大linux发行厂商已经发布了内核修复补丁，详细内核修复版本如下：

CentOS 6: 2.6.32-754.15.3

CentOS 7: 3.10.0-957.21.3

Ubuntu 18.04 LTS: 4.15.0-52.56

Ubuntu 16.04 LTS: 4.4.0-151.178

修复建议

1.禁用SACK机制功能，执行命令如下：

echo 0 > /proc/sys/net/ipv4/tcp_sack sysctl -w net.ipv4.tcp_sack=0

2.升级Linux Sever到上述安全版本。

注意：以上任意一种修复方式都有可能造成业务不可用。

相关连接：

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

https://access.redhat.com/security/vulnerabilities/tcpsack