Linux TCP “SACK PANIC” 远程拒绝服务漏洞预警

漏洞编号:

CVE-2019-11477 高危、CVE-2019-11478 中危、CVE-2019-11479 中危

漏洞威胁:

攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。

CentOS 解决方案:

yum clean all && yum makecache && yum update kernel -y
reboot

更新后重启系统生效;

Debian/Ubuntu 解决方案:

apt update && apt upgrade kernel -y
reboot

更新后重启系统生效;

临时解决方案:

如当前不方便重启进行内核补丁更新,可禁用内核SACK配置防范漏洞利用。但可能会对网络性能产生一定影响!

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

还没有评论,快来抢沙发!

发表评论