信息安全

信息安全 首頁 > 信息安全 > 信息安全 > 正文

【華中科技大學 - 漏洞预警】Linux 內核中 TCP SACK 远程拒绝服务漏洞

發布时间:2019-06-19 浏纴砦數:次

  2019618RedHat官網布報告安全員在Linux 內核處理TCP SACK數据包模块中發现了三个漏洞,CVE編號爲CVE-2019-11477CVE-2019-11478 CVE-2019-11479,其中 CVE-2019-11477 漏洞能夠降低系統運行效率,並可能被遠程攻擊者用于 拒絕服務攻擊,影響程度嚴重。

漏洞概述

SACK Panic 漏洞通過“在具有較小值的 TCP MSS TCP 连接上發 送精心設計的 SACK 段序列”來利用它,这会触發整數溢出。

CVE-2019-11478(被稱爲 SACK Slowness可通过發一個精设 计的 SACK 序列分解 TCP 重傳隊”來利用CVE-2019-11479 允许攻擊者触發 DoS 通过發送“具有低 MSS 值的精心制作的數據 包來触發过多的资源消耗”來进行状态。

CVE-2019-5599 CVE-2019-11478 FreeBSD 版本,它使用 RACK TCP 堆棧影響 FreeBSD 12 的安装,并且可以通过提供“一個精心 设计的 SACK 序列來破坏 RACK 發送映射”。

攻擊者以通过發送一系特定的 SACK 触發塊的整出漏洞,進而實行遠程拒絕服務攻擊。

受影響範圍

    Linux 內核 2.6.29 及以上版本。

1、及時安裝補丁文件:

(1)第一個補丁

https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_1_4.patch

(2)Linux 內核 4.14 及以上版本需要打第二個補丁 

https://github.com/Netflix/securitybulletins/blob/master/ad visories/third-party/2019-001/PATCH_net_1a.patch

(3)CVE-2019-11478 補丁

https://github.com/Netflix/securitybulletins/blob/master/a dvisories/third-party/2019-001/PATCH_net_2_4.patch

(4)CVE-2019-11479 補丁

https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_3_4.patch

https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_4_4.patch

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019- 001/split_limit.patch

並將net.inet.tcp.rack.split_limit sysctl 设置为合理的值來 修补 CVE-2019-5599 以限制 SACK 表的大小。

2、临时解决方案(若暂不便安装補丁更新,可采取下列临时防护措

(1)用户和管理员可以完全禁用系统上的 SACK 处理(通过将/ proc/ sys / net / ipv4 / tcp_sack 设置为 0)或使用 Netflix 信息安 全提供的过滤器阻止与低 MSS 的连接 - 第二个缓解措施仅在禁用 TCP 探测时才有效。

參考命令:

echo 0 > /proc/sys/net/ipv4/tcp_sack

或者 sysctl -w net.ipv4.tcp_sack=0

(2) CVE-2019-11478 和  CVE-2019-11479 都 可 以 通 过 使 用Netflix 信息安全提供的过滤器阻止具有低MSS的远程网络连接來 缓解 - 应用过滤器可能随后破坏低 MMS 合法连接。只需切换 RACK TCP 堆栈即可缓解 FreeBSD 漏洞。

參考命令:

可以防火牆設置限制MSS大小,對太小的包直接DROP。

iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP



版權所有:華中科技大學網絡與計算中心

地址:湖北省武漢市洪山區珞喻路1037號 郵編:430074 電話:027-87543141 傳真:027-87543741