0x00 漏洞描述
2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。
0x01 影响版本
影响Linux 内核2.6.29及以上版本
0x02 修复方案
(1)及时更新补丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch
Linux内核版本>=4.14需要打第二个补丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch
(2)禁用SACK处理
禁用SACK会影响传输效率,如果对传输有要求的不建议禁用
echo 0 > /proc/sys/net/ipv4/tcp_sack
(3)使用过滤器来阻止攻击
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
最简单的临时解决方式:iptables命令
iptables -t raw -I PREROUTING -p tcp -m tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP 此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)
(4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞
https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh
2020年2月13日 上午2:18 沙发
好博客,这个不禁用tcp_sack,不打补丁的话可有缓解办法吗?还是只阻止低mss就可以啦?
2020年3月3日 上午9:59 1层
@我叫爱学习 临时的方案阻止mss就好,建议还是打补丁