CVE-2019-11477 SACK Panic
Netflix 工程師在Linux 和FreeBSD 內核中發現了多個TCP 網絡漏洞。漏洞與最小分段大小(MSS)和TCP Selective Acknowledgement (SACK)有關,其中最嚴重的漏洞綽號為SACK Panic,允許遠程對Linux 內核觸發內核崩潰。
SACK Panic 漏洞編號CVE-2019-11477,影響2.6.29 以上版本,漏洞補丁已經發布,一個權宜的修復方法是將/proc/sys/net/ipv4/tcp_sack 設定為 “0”。
檢測及解決方案:
可使用鏈接中檢測腳本確定您的系統當前是否容易受到此漏洞的攻擊
(https://access.redhat.com/security/vulnerabilities/tcpsack)
PATCH_net_1_4.patch解決了Linux內核版本大於或等於2.6.29中的漏洞(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch)
Linux內核版本>= 4.14需要第二個補丁PATCH_net_1a.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch)
禁用SACK(/proc/sys/net/ipv4/tcp_sack設置為0)
緩解措施參考:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
CVE-2019-11478 SACK Slowness或過量資源消耗
CVE-2019 -11478是一個過量的資源消耗漏洞,可以由遠程攻擊者向易受攻擊的系統發送一系列TCP選擇性確認(SACK)包觸發,從而導致TCP重傳隊列的碎片化。此外,在4.15之前的Linux內核上,攻擊者可能能夠進一步利用分段隊列,為後續針對同一TCP連接接收的SACK導致昂貴的鍊錶遍歷,造成進一步碎片化,由此被稱為“SACK Slowness”。成功利用此漏洞將嚴重阻礙系統性能,並可能導致DoS。
受影響版本: SACK Slowness 影響版本小於4.15 的Linux 內核
過量資源消耗影響全版本Linux內核
已修復漏洞的穩定內核版本: Linux 內核版本4.4.182、4.9.182、4.14.127、4.19.52、5.1.11
解決方案:
應用補丁程序PATCH_net_2_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_2_4.patch)。
或禁用SACK(/proc/sys/net/ipv4/tcp_sack設置為0)
緩解措施參考:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
CVE-2019-11479
CVE-2019-11479是一個超額資源消耗漏洞,可以在遠程攻擊者為TCP連接設置較低的最大段大小(MSS)時觸發,從而導致易受攻擊的系統利用額外的帶寬和資源。利用此漏洞將導致受影響的系統以最大的資源消耗運行,影響系統性能。
受影響版本:
影響全版本Linux 內核
已修復漏洞的穩定內核版本:
Linux 內核版本4.4.182、4.9.182、4.14.127、4.19.52、5.1.11
解決方案:
應用補丁程序PATCH_net_3_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_3_4.patch)和PATCH_net_4_4.patch(https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_4_4.patch)。
緩解措施參考:https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md