近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Linux和FreeBSD內(nèi)核多個安全漏洞(CNNVD-201906-681���、CVE-2019-11477)(CNNVD-201906-682�、CVE-2019-11478)(CNNVD-201906-683、CVE-2019-11479)(CNNVD-201906-703��、CVE-2019-5599)情況的報送�。攻擊者可以遠(yuǎn)程利用這些漏洞,造成Linux和FreeBSD內(nèi)核崩潰���,從而導(dǎo)致拒絕服務(wù)�。Linux多個版本受漏洞影響��。目前��,Ubuntu和 RedHat已發(fā)布漏洞修復(fù)補丁���,暫未發(fā)布補丁的版本可通過臨時修補措施緩解漏洞帶來的危害�����,建議用戶及時確認(rèn)是否受到漏洞影響�,盡快采取修補措施�����。
一�、漏洞介紹
2019年6月18日�����,Netflix安全團隊發(fā)布《Linux和FreeBSD內(nèi)核:多個基于TCP的遠(yuǎn)程拒絕服務(wù)漏洞公告》。報告中公布了相關(guān)漏洞(CNNVD-201906-681�����、CVE-2019-11477)(CNNVD-201906-682���、CVE-2019-11478)(CNNVD-201906-683�����、CVE-2019-11479)(CNNVD-201906-703���、CVE-2019-5599)的細(xì)節(jié)。攻擊者可通過發(fā)送精心設(shè)計的SACK 序列來利用上述漏洞�����,造成Linux和FreeBSD內(nèi)核崩潰�,從而導(dǎo)致拒絕服務(wù)。
二�、危害影響
成功利用該漏洞的攻擊者可以造成Linux和FreeBSD內(nèi)核崩潰���,從而導(dǎo)致拒絕服務(wù)。Linux多個版本受漏洞影響����,具體影響版本如下:
CNNVD-201906-681、CVE-2019-11477 影響 Linux 2.6.29以上的內(nèi)核版本
CNNVD-201906-682��、CVE-2019-11478 影響所有 Linux 版本
CNNVD-201906-683���、CVE-2019-11479 影響所有 Linux 版本
CNNVD-201906-703���、CVE-2019-5599 影響使用RACK TCP堆棧的FreeBSD 12版本
三、修復(fù)建議
目前���,Ubuntu和 RedHat已發(fā)布漏洞修復(fù)補丁����,暫未發(fā)布補丁的版本可通過臨時修補措施緩解漏洞帶來的危害�����,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補措施���。具體措施如下:
(1)CNNVD-201906-681��、CVE-2019-11477漏洞修復(fù)補丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch
Linux內(nèi)核版本>=4.14需要打第二個補丁
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch
(2)Ubuntu和RedHat系統(tǒng)的修復(fù)方案
Ubuntu用戶可以使用如下命令更新(更新完成后需要重啟生效):
$ sudo apt-get update
$ sudo apt-get dist-upgrade
RedHat用戶可以使用如下命令更新(更新完成后需要重啟生效):
yum install -y yum-security
yum --security check-update
yum update --security
(3)其它漏洞臨時修補措施
對于暫時無法更新內(nèi)核或者重啟的用戶��,可以使用如下緩解措施。
臨時禁用易受攻擊的組件:
# echo 0 > /proc/sys/net/ipv4/tcp_sack
或者
# sysctl -w net.ipv4.tcp_sack=0
或者使用iptables刪除可能利用此漏洞的流量:
# iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
# ip6tables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
# iptables -nL -v
# ip6tables -nL -v
本通報由CNNVD技術(shù)支撐單位——知道創(chuàng)宇404實驗室�、奇安信科技集團股份有限公司提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況����,及時發(fā)布相關(guān)信息。如有需要��,可與CNNVD聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
