• <cite id="3flhp"><span id="3flhp"></span></cite>
  • <rp id="3flhp"></rp>

    1. <rt id="3flhp"></rt>
    2. <tt id="3flhp"><span id="3flhp"><samp id="3flhp"></samp></span></tt>
      <rt id="3flhp"><optgroup id="3flhp"><acronym id="3flhp"></acronym></optgroup></rt>
    3. Cinque Terre

      信息安全

      信息安全 首頁 > 信息安全 > 信息安全 > 正文

      【華中科技大學 - 漏洞預警】Linux 內核中 TCP SACK 遠程拒絕服務漏洞

      發布時間:2019-06-19 瀏覽次數:

        2019618,RedHat官網布報告安全員在Linux 內核處理TCP SACK數據包模塊中發現了三個漏洞,CVE編號為CVE-2019-11477、CVE-2019-11478 CVE-2019-11479,其中 CVE-2019-11477 漏洞能夠降低系統運行效率,并可能被遠程攻擊者用于 拒絕服務攻擊,影響程度嚴重。

      漏洞概述

      SACK Panic 漏洞通過“在具有較小值的 TCP MSS TCP 連接上發 送精心設計的 SACK 段序列”來利用它,這會觸發整數溢出。

      CVE-2019-11478(被稱為 SACK Slowness可通過發一個精設 計的 SACK 序列分解 TCP 重傳隊”來利用,CVE-2019-11479 允許攻擊者觸發 DoS 通過發送“具有低 MSS 值的精心制作的數據 包來觸發過多的資源消耗”來進行狀態。

      CVE-2019-5599 CVE-2019-11478 FreeBSD 版本,它使用 RACK TCP 堆棧影響 FreeBSD 12 的安裝,并且可以通過提供“一個精心 設計的 SACK 序列來破壞 RACK 發送映射”。

      攻擊者以通過發送一系特定的 SACK ,觸發塊的整出漏洞,進而實行遠程拒絕服務攻擊。

      受影響范圍

          Linux 內核 2.6.29 及以上版本。

      1、及時安裝補丁文件:

      (1)第一個補丁

      https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_1_4.patch

      (2)Linux 內核 4.14 及以上版本需要打第二個補丁 

      https://github.com/Netflix/securitybulletins/blob/master/ad visories/third-party/2019-001/PATCH_net_1a.patch

      (3)CVE-2019-11478 補丁

      https://github.com/Netflix/securitybulletins/blob/master/a dvisories/third-party/2019-001/PATCH_net_2_4.patch

      (4)CVE-2019-11479 補丁

      https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_3_4.patch

      https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_4_4.patch

      https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019- 001/split_limit.patch

      并將net.inet.tcp.rack.split_limit sysctl 設置為合理的值來 修補 CVE-2019-5599 以限制 SACK 表的大小。

      2、臨時解決方案(若暫不便安裝補丁更新,可采取下列臨時防護措

      (1)用戶和管理員可以完全禁用系統上的 SACK 處理(通過將/ proc/ sys / net / ipv4 / tcp_sack 設置為 0)或使用 Netflix 信息安 全提供的過濾器阻止與低 MSS 的連接 - 第二個緩解措施僅在禁用 TCP 探測時才有效。

      參考命令:

      echo 0 > /proc/sys/net/ipv4/tcp_sack

      或者 sysctl -w net.ipv4.tcp_sack=0

      (2) CVE-2019-11478 和  CVE-2019-11479 都 可 以 通 過 使 用Netflix 信息安全提供的過濾器阻止具有低MSS的遠程網絡連接來 緩解 - 應用過濾器可能隨后破壞低 MMS 合法連接。只需切換 RACK TCP 堆棧即可緩解 FreeBSD 漏洞。

      參考命令:

      可以防火墻設置限制MSS大小,對太小的包直接DROP。

      iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP



      版權所有:華中科技大學網絡與計算中心

      地址:湖北省武漢市洪山區珞喻路1037號 郵編:430074 電話:027-87543141 傳真:027-87543741

      美女视频黄的全免费视频网站,美女视频免费是黄的网站,免费的美女色视频网站