近日,騰訊雲安全中心監測到Linux 核心被曝存在TCP “SACK Panic” 遠端拒絕服務漏洞(漏洞編號:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻擊者可利用該漏洞遠端攻擊目標伺服器,導致系統崩潰或無法提供服務。
為避免您的業務受影響,雲鼎實驗室建議Linux系統使用者及時開展安全自查,如在受影響範圍,請您及時進行更新修復,避免被外部攻擊者入侵。同時建議雲上租戶免費開通「安全運營中心」-安全情報,及時獲取最新漏洞情報、修復方案及資料洩露情況,感知雲上資產風險態勢。
【風險等級】高風險
【漏洞風險】遠端傳送特殊構造的攻擊包,導致目標 Linux 或 FreeBSD 伺服器崩潰或服務不可用。
【漏洞詳情】騰訊雲安全中心情報平臺監測到 Netflix 資訊保安團隊研究員Jonathan Looney發現 Linux 以及 FreeBSD 等系統核心上存在嚴重遠端DoS漏洞,攻擊者可利用該漏洞構造併傳送特定的 SACK 序列請求到目標伺服器導致伺服器崩潰或拒絕服務。
【影響版本】目前已知受影響版本如下:
FreeBSD 12(使用到 RACK TCP 協議棧)
CentOS 5(Redhat 官方已停止支援,不再提供補丁)
CentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 19.04
Ubuntu 18.10
【安全版本】各大Linux發行廠商已釋出核心修復補丁,詳細核心修復版本如下:
CentOS 6 :2.6.32-754.15.3
CentOS 7 :3.10.0-957.21.3
Ubuntu 18.04 LTS :4.15.0-52.56
Ubuntu 16.04 LTS:4.4.0-151.178
FreeBSD:騰訊雲官方提供的 FreeBSD 映象預設不受該漏洞影響,請放心使用。
【修復建議】升級您的 Linux Server 到上述【安全版本】,詳細操作如下:
➤【CentOS 6/7 系列使用者】
注:截止文章釋出,CentOS官方暫未同步核心修復補丁到軟體源,建議使用者及時關注補丁更新情況並開展相應升級工作。升級方式如下:
1. yum clean all && yum makecache,進行軟體源更新;
2. yum update kernel -y,更新當前核心版本;
3. reboot,更新後重啟系統生效;
4. uname -a,檢查當前版本是否為上述【安全版本】,如果是,則說明修復成功。
➤【Ubuntu 16.04/18.04 LTS 系列使用者】
1. sudo apt-get update && sudo apt-get install linux-image-generic,進行軟體源更新並安裝最新核心版本;
2. sudo reboot,更新後重啟系統生效;
3. uname -a,檢查當前版本是否為【安全版本】,如果是,則說明修復成功。
如果使用者不方便重啟進行核心補丁更新,可選擇臨時緩解方案:
執行如下命令禁用核心 SACK 配置防範漏洞利用:
sysctl -w net.ipv4.tcp_sack=0
【漏洞參考】 [1]官方通告:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
[2]社群參考:
https://www.openwall.com/lists/oss-security/2019/06/17/5
[3]紅帽公告:
https://access.redhat.com/security/vulnerabilities/tcpsack