爱游戏|体育-首页(yb3548.cn)是亚洲优质游戏品牌,综合各种在线游戏于一站式的大型游戏平台,经营多年一直为大家提供安全稳定的游戏环境,爱游戏|体育-首页值得信赖,期待广大游戏爱好者前来体验,爱游戏|体育-首页将把最好的游戏体验带给大家!

<source id="k1stn"><menuitem id="k1stn"></menuitem></source>
<s id="k1stn"><nav id="k1stn"><strike id="k1stn"></strike></nav></s>
<i id="k1stn"><form id="k1stn"></form></i>
<video id="k1stn"><menuitem id="k1stn"></menuitem></video>
<rt id="k1stn"><menuitem id="k1stn"><strike id="k1stn"></strike></menuitem></rt>
<rt id="k1stn"><nav id="k1stn"><button id="k1stn"></button></nav></rt>
<video id="k1stn"><menuitem id="k1stn"></menuitem></video>

      <tt id="k1stn"></tt>
      <rp id="k1stn"><nav id="k1stn"></nav></rp>

      1. Cinque Terre

        信息安全

        信息安全 首页 > 信息安全 > 信息安全 > 正文

        【华中科技大学 - 漏洞预警】Linux 内核中 TCP SACK 远程拒绝服务漏洞

        发布时间:2019-06-19 浏览次数:

          2019618,RedHat官网布报告安全员在Linux 内核处理TCP SACK数据包??橹蟹⑾至巳雎┒?,CVE编号为CVE-2019-11477、CVE-2019-11478 CVE-2019-11479,其中 CVE-2019-11477 漏洞能够降低系统运行效率,并可能被远程攻击者用于 拒绝服务攻击,影响程度严重。

        漏洞概述

        SACK Panic 漏洞通过“在具有较小值的 TCP MSS TCP 连接上发 送精心设计的 SACK 段序列”来利用它,这会触发整数溢出。

        CVE-2019-11478(被称为 SACK Slowness可通过发一个精设 计的 SACK 序列分解 TCP 重传队”来利用,CVE-2019-11479 允许攻击者触发 DoS 通过发送“具有低 MSS 值的精心制作的数据 包来触发过多的资源消耗”来进行状态。

        CVE-2019-5599 CVE-2019-11478 FreeBSD 版本,它使用 RACK TCP 堆栈影响 FreeBSD 12 的安装,并且可以通过提供“一个精心 设计的 SACK 序列来破坏 RACK 发送映射”。

        攻击者以通过发送一系特定的 SACK ,触发块的整出漏洞,进而实行远程拒绝服务攻击。

        受影响范围

            Linux 内核 2.6.29 及以上版本。

        1、及时安装补丁文件:

        (1)第一个补丁

        https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_1_4.patch

        (2)Linux 内核 4.14 及以上版本需要打第二个补丁 

        https://github.com/Netflix/securitybulletins/blob/master/ad visories/third-party/2019-001/PATCH_net_1a.patch

        (3)CVE-2019-11478 补丁

        https://github.com/Netflix/securitybulletins/blob/master/a dvisories/third-party/2019-001/PATCH_net_2_4.patch

        (4)CVE-2019-11479 补丁

        https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_3_4.patch

        https://github.com/Netflix/security- bulletins/blob/master/advisories/third-party/2019- 001/PATCH_net_4_4.patch

        https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019- 001/split_limit.patch

        并将net.inet.tcp.rack.split_limit sysctl 设置为合理的值来 修补 CVE-2019-5599 以限制 SACK 表的大小。

        2、临时解决方案(若暂不便安装补丁更新,可采取下列临时防护措

        (1)用户和管理员可以完全禁用系统上的 SACK 处理(通过将/ proc/ sys / net / ipv4 / tcp_sack 设置为 0)或使用 Netflix 信息安 全提供的过滤器阻止与低 MSS 的连接 - 第二个缓解措施仅在禁用 TCP 探测时才有效。

        参考命令:

        echo 0 > /proc/sys/net/ipv4/tcp_sack

        或者 sysctl -w net.ipv4.tcp_sack=0

        (2) CVE-2019-11478 和  CVE-2019-11479 都 可 以 通 过 使 用Netflix 信息安全提供的过滤器阻止具有低MSS的远程网络连接来 缓解 - 应用过滤器可能随后破坏低 MMS 合法连接。只需切换 RACK TCP 堆栈即可缓解 FreeBSD 漏洞。

        参考命令:

        可以防火墙设置限制MSS大小,对太小的包直接DROP。

        iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP



        版权所有:华中科技大学网络与计算中心

        地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741

        爱游戏|体育-首页
        <source id="k1stn"><menuitem id="k1stn"></menuitem></source>
        <s id="k1stn"><nav id="k1stn"><strike id="k1stn"></strike></nav></s>
        <i id="k1stn"><form id="k1stn"></form></i>
        <video id="k1stn"><menuitem id="k1stn"></menuitem></video>
        <rt id="k1stn"><menuitem id="k1stn"><strike id="k1stn"></strike></menuitem></rt>
        <rt id="k1stn"><nav id="k1stn"><button id="k1stn"></button></nav></rt>
        <video id="k1stn"><menuitem id="k1stn"></menuitem></video>

          <tt id="k1stn"></tt>
          <rp id="k1stn"><nav id="k1stn"></nav></rp>