一、概要

近日，業(yè)界發(fā)布Linux內核處理器TCP SACK模塊三個漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)，攻擊者可遠程發(fā)送特殊構造的攻擊包造成拒絕服務攻擊，導致服務器不可用或崩潰。

華為云提醒各位租戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.suse.com/support/kb/doc/?id=7023928

https://access.redhat.com/security/vulnerabilities/tcpsack

https://www.debian.org/lts/security/2019/dla-1823

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic?

https://lists.centos.org/pipermail/centos-announce/2019-June/023332.html

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

影響Linux 內核2.6.29及以上版本

四、處置方案

?  更新Linux安全補?。ㄐ迯秃笮柚貑ⅲ?

SUSE/Redhat系列請到官方網(wǎng)站下載補丁包進行更新【官網(wǎng)通道：SUSE、Redhat】；

Ubuntu/ Debian系列：執(zhí)行命令apt-get update && apt-get install linux-image-generic更新版本 ;

Centos系列：執(zhí)行命令yum update kernel -y，更新內核版本。

?  臨時緩解措施：

1、    禁用內核SACK配置。（會影響TCP連接處理效率，請在操作前評估對業(yè)務可用性的影響）

sysctl -w net.ipv4.tcp_sack=0

echo "net.ipv4.tcp_sack=0" >> /etc/sysctl.conf

2、    通過防火墻阻止低MSS連接。

使用以下命令通過防火墻禁止在新連接中使用小的 MSS 值：

# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# firewall-cmd –reload

# firewall-cmd --permanent --direct --get-all-rules

如果用戶使用iptables作為防火墻，相應的iptables命令如下：

# iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# ip6tables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# iptables -nL -v

# ip6tables -nL –v

注：修復漏洞前請將資料備份，并進行充分測試。