首页 > 安全钻研 > 安全传递 > 安全公告

Linux内核中TCP SACK远程回绝服务缝隙安全公告

颁布功夫 2019-06-19

缝隙编号和级别

CVE编号：CVE-2019-11477，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定
CVE编号：CVE-2019-11478，危险级别：中危，CVSS分值：官方未评定

CVE编号：CVE-2019-11479，危险级别：中危，CVSS分值：官方未评定

影响版本

受影响的版本

影响Linux 内核2.6.29及以上版本

缝隙概述

2019年6月18日，RedHat官网颁布汇报：安全钻研人员在Linux内核处置TCP

SACK数据包�？橹蟹⑾至巳龇煜�，CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

CVE-2019-11477 SACK Panic缝隙通过“在拥有较幼值的TCP MSS的TCP衔接上发送精心设计的SACK段序劣妆来利用，这会触发整数溢出。该缝隙可能降低系统运行效能，并可能被远程攻击者用于回绝服务攻击，影响水平严沉。

CVE-2019-11478 SACK Slowness缝隙通过发送“一个精心设计的SACK序列来分化TCP沉传队劣妆来利用，而CVE-2019-11479缝隙通过发送“拥有低MSS值的精心造作的数据包”来利用允许攻击者触发DoS。

CVE-2019-5599是CVE-2019-11478的FreeBSD版本，它使用RACK TCP仓库影响FreeBSD 12的装置，并且能够通过提供“一个精心设计的SACK序列来粉碎RACK发送映射”。

对我国境内使用Linux操作系统的服务器进行统计，了局显示我国境内盛开互联网端口的Linux服务器数量约为202万台。按散布区统计来看，排名前三的省份是广东省、浙江省和北京市。

缝隙验证

暂无POC/EXP。

建复建议

（1）实时更新补�。篽ttps://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001。

（2）禁用SACK处置
echo 0 > /proc/sys/net/ipv4/tcp_sack
（3）使用过滤器来阻止攻击
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/block-low-mss/README.md
此缓解必要禁用TCP探测时有效（即在/etc/sysctl.conf文件中将net.ipv4.tcp_mtu_probingsysctl设置为0）
（4）RedHat用户能够使用以下脚正本查抄系统是否存在缝隙

https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

参考链接

https://access.redhat.com/security/vulnerabilities/tcpsack

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Linux内核中TCP SACK远程回绝服务缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线