漏洞描述

2019年6月18日，RedHat官网发布报告：安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞，CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479，其中CVE-2019-11477漏洞能够降低系统运行效率，并可能被远程攻击者用于拒绝服务攻击，影响程度严重，建议广大用户及时更新。

影响版本

影响Linux 内核2.6.29及以上版本

修复方案

（1）及时更新补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

Linux内核版本>=4.14需要打第二个补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

（2）禁用SACK处理

echo 0 > /proc/sys/net/ipv4/tcp_sack

（3）使用过滤器来阻止攻击

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md

此缓解需要禁用TCP探测时有效（即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0）

（4）RedHat用户可以使用以下脚本来检查系统是否存在漏洞

https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

更多资讯：更多资讯

本站发布的【Linux内核中TCP SACK机制远程DoS预警通告】内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场

如果涉及侵权请尽快告知,我们将会在第一时间立刻删除涉嫌侵权内容，本站原创内容未经允许不得转载，或转载时需注明出处。