Linux TCP "SACK PANIC" 远程拒绝服务漏洞修复

近日,linux爆出了严重的漏洞 Linux TCP "SACK PANIC"

这些漏洞会导致服务器关机或者死机,DoS攻击的结果

漏洞编号:


CVE-2019-11477 高危
CVE-2019-11478 中危
CVE-2019-11479 中危

漏洞威胁:


攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。

漏洞检测脚本:


wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh && bash  cve-2019-11477--2019-06-17-1629.sh

漏洞修复:


sysctl -w net.ipv4.tcp_sack=0
echo 0 > /proc/sys/net/ipv4/tcp_sack
禁用sack或者升级内核到最新5.1.14可修复
这里记录一下centos的内核修复方法

centos6更换内核


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -ivh ftp://ftp.pbone.net/mirror/elrepo.org/elrepo/el6/x86_64/RPMS/elrepo-release-6-5.el6.elrepo.noarch.rpm
yum -y --enablerepo=elrepo-kernel install kernel-lt
vi /etc/grub.conf  #(把default=1 改成0,保存退出,重启就行了)

centos7更换内核


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org && rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm && yum --enablerepo=elrepo-kernel install kernel-ml -y && sed -i 's/GRUB_DEFAULT=saved/GRUB_DEFAULT=0/g' /etc/default/grub && grub2-mkconfig -o /boot/grub2/grub.cfg && grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg && reboot

参考来源: https://www.hostloc.com/thread-560053-1-1.html

发表评论