Linux内核中TCP SACK远程拒绝服务漏洞安全通告
发布时间 2019-06-19漏洞编号和级别
CVE编号:CVE-2019-11478,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2019-11479,危险级别:中危,CVSS分值:官方未评定
影响版本
影响Linux 内核2.6.29及以上版本
漏洞概述
SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。
CVE-2019-11477 SACK Panic漏洞通过“在具有较小值的TCP MSS的TCP连接上发送精心设计的SACK段序列”来利用,这会触发整数溢出。该漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。
CVE-2019-11478 SACK Slowness漏洞通过发送“一个精心设计的SACK序列来分解TCP重传队列”来利用,而CVE-2019-11479漏洞通过发送“具有低MSS值的精心制作的数据包”来利用允许攻击者触发DoS。
CVE-2019-5599是CVE-2019-11478的FreeBSD版本,它使用RACK TCP堆栈影响FreeBSD 12的安装,并且可以通过提供“一个精心设计的SACK序列来破坏RACK发送映射”。
对我国境内使用Linux操作系统的服务器进行统计,结果显示我国境内开放互联网端口的Linux服务器数量约为202万台。按分布区统计来看,排名前三的省份是广东省、浙江省和北京市。
漏洞验证
暂无POC/EXP。
修复建议
(1)及时更新补丁:https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001。
(2)禁用SACK处理echo 0 > /proc/sys/net/ipv4/tcp_sack
(3)使用过滤器来阻止攻击
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
此缓解需要禁用TCP探测时有效(即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0)
(4)RedHat用户可以使用以下脚本来检查系统是否存在漏洞
https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
参考链接
京公网安备11010802024551号