一、概要

近日，业界发布Linux内核处理器TCP SACK模块三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)，攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击，导致服务器不可用或崩溃。

华为云提醒各位租户及时安排自检并做好安全加固。

参考链接：

https://www.suse.com/support/kb/doc/?id=7023928

https://access.redhat.com/security/vulnerabilities/tcpsack

https://www.debian.org/lts/security/2019/dla-1823

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic?

https://lists.centos.org/pipermail/centos-announce/2019-June/023332.html

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

影响Linux 内核2.6.29及以上版本

四、处置方案

Ø  更新Linux安全补丁（修复后需重启）:

SUSE/Redhat系列请到官方网站下载补丁包进行更新【官网通道：SUSE、Redhat】；

Ubuntu/ Debian系列：执行命令apt-get update && apt-get install linux-image-generic更新版本 ;

Centos系列：执行命令yum update kernel -y，更新内核版本。

Ø  临时缓解措施：

1、    禁用内核SACK配置。（会影响TCP连接处理效率，请在操作前评估对业务可用性的影响）

sysctl -w net.ipv4.tcp_sack=0

echo "net.ipv4.tcp_sack=0" >> /etc/sysctl.conf

2、    通过防火墙阻止低MSS连接。

使用以下命令通过防火墙禁止在新连接中使用小的 MSS 值：

# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# firewall-cmd –reload

# firewall-cmd --permanent --direct --get-all-rules

如果用户使用iptables作为防火墙，相应的iptables命令如下：

# iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# ip6tables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:48 -j DROP

# iptables -nL -v

# ip6tables -nL –v

注：修复漏洞前请将资料备份，并进行充分测试。