預(yù)警 | Linux 爆“SACK Panic”遠(yuǎn)程DoS漏洞，大量主機(jī)受影響

高風(fēng)險

遠(yuǎn)程發(fā)送特殊構(gòu)造的攻擊包，導(dǎo)致目標(biāo) Linux 或 FreeBSD 服務(wù)器崩潰或服務(wù)不可用。

騰訊云安全中心情報平臺監(jiān)測到 Netflix 信息安全團(tuán)隊(duì)研究員Jonathan Looney發(fā)現(xiàn) Linux 以及 FreeBSD 等系統(tǒng)內(nèi)核上存在嚴(yán)重遠(yuǎn)程DoS漏洞，攻擊者可利用該漏洞構(gòu)造并發(fā)送特定的 SACK 序列請求到目標(biāo)服務(wù)器導(dǎo)致服務(wù)器崩潰或拒絕服務(wù)。

目前已知受影響版本如下：

• FreeBSD 12（使用到 RACK TCP 協(xié)議棧）

• CentOS 5（Redhat 官方已停止支持，不再提供補(bǔ)?。?/span>

• CentOS 6

• CentOS 7

• Ubuntu 18.04 LTS

• Ubuntu 16.04 LTS

• Ubuntu 19.04

• Ubuntu 18.10

各大Linux發(fā)行廠商已發(fā)布內(nèi)核修復(fù)補(bǔ)丁，詳細(xì)內(nèi)核修復(fù)版本如下：

• CentOS 6 ：2.6.32-754.15.3

• CentOS 7 ：3.10.0-957.21.3

• Ubuntu 18.04 LTS ：4.15.0-52.56

• Ubuntu 16.04 LTS：4.4.0-151.178

• FreeBSD：騰訊云官方提供的 FreeBSD 鏡像默認(rèn)不受該漏洞影響，請放心使用。

升級您的 Linux Server 到上述【安全版本】，詳細(xì)操作如下：

?【CentOS 6/7 系列用戶】

注：截止文章發(fā)布，CentOS官方暫未同步內(nèi)核修復(fù)補(bǔ)丁到軟件源，建議用戶及時關(guān)注補(bǔ)丁更新情況并開展相應(yīng)升級工作。升級方式如下：

1. yum clean all && yum makecache，進(jìn)行軟件源更新；

2. yum update kernel  -y，更新當(dāng)前內(nèi)核版本;

3. reboot，更新后重啟系統(tǒng)生效;

4. uname -a，檢查當(dāng)前版本是否為上述【安全版本】，如果是，則說明修復(fù)成功。

?【Ubuntu 16.04/18.04 LTS 系列用戶】

1. sudo apt-get update && sudo apt-get install linux-image-generic，進(jìn)行軟件源更新并安裝最新內(nèi)核版本；

2. sudo reboot，更新后重啟系統(tǒng)生效；

3. uname -a，檢查當(dāng)前版本是否為【安全版本】，如果是，則說明修復(fù)成功。

如果用戶不方便重啟進(jìn)行內(nèi)核補(bǔ)丁更新，可選擇臨時緩解方案：

運(yùn)行如下命令禁用內(nèi)核 SACK 配置防范漏洞利用：

sysctl -w net.ipv4.tcp_sack=0

  [1]官方通告：

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

  [2]社區(qū)參考：

https://www.openwall.com/lists/oss-security/2019/06/17/5

  [3]紅帽公告：

https://access.redhat.com/security/vulnerabilities/tcpsack