[转帖]预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响

Linux爆“SACK Panic”远程DoS漏洞
最新推荐文章于 2024-09-15 14:04:00 发布
转载 最新推荐文章于 2024-09-15 14:04:00 发布 · 118 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/jinanxiaolaohu/p/11057019.html
文章标签:

#操作系统 #网络 #运维

预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响

  
https://cloud.tencent.com/developer/article/1447879

所有的 版本 全部中标  Linux 版本的永恒之蓝吗..

 

近日,腾讯云安全中心监测到Linux 内核被曝存在TCP “SACK Panic” 远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。

为避免您的业务受影响,云鼎实验室建议Linux系统用户及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。

【风险等级】

高风险

【漏洞风险】

远程发送特殊构造的攻击包,导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。

【漏洞详情】

腾讯云安全中心情报平台监测到 Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。

【影响版本】

目前已知受影响版本如下:

  • FreeBSD 12(使用到 RACK TCP 协议栈)
  • CentOS 5(Redhat 官方已停止支持,不再提供补丁)
  • CentOS 6
  • CentOS 7
  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 LTS
  • Ubuntu 19.04
  • Ubuntu 18.10

【安全版本】

各大Linux发行厂商已发布内核修复补丁,详细内核修复版本如下:

  • CentOS 6 :2.6.32-754.15.3
  • CentOS 7 :3.10.0-957.21.3
  • Ubuntu 18.04 LTS :4.15.0-52.56
  • Ubuntu 16.04 LTS:4.4.0-151.178
  • FreeBSD:腾讯云官方提供的 FreeBSD 镜像默认不受该漏洞影响,请放心使用。

【修复建议】

升级您的 Linux Server 到上述【安全版本】,详细操作如下:

➤【CentOS 6/7 系列用户】

注:截止文章发布,CentOS官方暂未同步内核修复补丁到软件源,建议用户及时关注补丁更新情况并开展相应升级工作。升级方式如下:

1. yum clean all && yum makecache,进行软件源更新;

2. yum update kernel  -y,更新当前内核版本;

3. reboot,更新后重启系统生效;

4. uname -a,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。

➤【Ubuntu 16.06/18.04 LTS 系列用户】

1. sudo apt-get update && sudo apt-get install linux-image-generic,进行软件源更新并安装最新内核版本;

2. sudo reboot,更新后重启系统生效;

3. uname -a,检查当前版本是否为【安全版本】,如果是,则说明修复成功。

如果用户不方便重启进行内核补丁更新,可选择临时缓解方案

运行如下命令禁用内核 SACK 配置防范漏洞利用:

sysctl -w net.ipv4.tcp_sack=0

【漏洞参考】

  [1]官方通告:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

  [2]社区参考:

https://www.openwall.com/lists/oss-security/2019/06/17/5

  [3]红帽公告:

https://access.redhat.com/security/vulnerabilities/tcpsack

➤推荐阅读

关注腾讯云安全获取更多资讯

点右下角「在看」

开始我们的故事

 

建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。点击“阅读原文”,即可免费开通。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2019-06-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

转载于:https://www.cnblogs.com/jinanxiaolaohu/p/11057019.html

Linux: network: tcp: sack 实例 TCP Dup ACK; D-SACK; duplicate
mzhan017的博客
07-15 1465
146帧里有ack是2206552529的数字,在149这个帧里没有任何数据只是一个ACK。所以只是从这个简单信息里看不出来为什么重发ACK,但是看到149里的内容后,我们就很清除的看到,里面有一个SACK的选项在里面:内容是左边是111630,右边是116590。这就很明显了,第二个ACK的主要作用是发SACK的。这里的S是selective,是说这个ACK不是顺序的ACK,而是选择性的ACK。反向说明网络有丢包。如果收到SACK,代表有丢包,发送者需要根据ACK的情况,重发丢失的包。
linux内核协议栈 TCP选项之SACK选项的发送
10-16 990
目录 1. 相关数据结构 1.1 struct tcp_sock 1.2 struct tcp_options_received 2慢速路径数据接收tcp_data_queue() 2.1 判断SACK是否使能tcp_is_sack 2.2 DSACK 设置 tcp_dsack_set 2.3 将SACK块加入到 selective_acks 数组 3发送SACK选项tcp_transmit_skb() 3.1 SACK片数计算 tcp_established_options()...
预警 | Linux SACK Panic远程DoS漏洞大量主机影响
qcloud_security的博客
06-18 815
近日,腾讯云安全中心监测到Linux 内核被曝存在TCP “SACK Panic远程拒绝服务漏洞漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。 为避免您的业务影响,云鼎实验室建议Linux系统用户及时开展安全自查,如在影响范围,请您及时进行更新修复,避免被外...
Linux内核远程DoS漏洞CVE-2017-7618 4.10.9及以前版本均影响
weixin_34067049的博客
09-01 441
Linux内核又远程DoS漏洞,CVEIDCVE-2017-7618,攻击者可以利用该漏洞实施DoS攻击,linux内核4.10.9及以前版本均影响,请尽快升级到最新版本,或者考虑手动修复方案。 Linux内核远程DoS漏洞缓解办法 目前linux内核最新版本是4.12.4,请尽快升级到更新的版本 https://cdn.kernel.or...
linux系统内核是DOS,Linux内核中发现未修补的DoS漏洞
weixin_35755640的博客
04-30 179
贡献者Wanpeng Li在Linux内核中发现的两个拒绝服务(DoS)漏洞,可能允许本地攻击者利用空指针引用错误来触发DoS条件。第一个在Common Vulnerabilities and Exposures数据库中,编号为CVE-2018-19406,漏洞存在于Linux内核的kvm_pv_send_ipi函数中,该函数在arch/x86/kvm/lapic.c文件中定义。CVE-2018-...
linux漏洞 远程,Linux SACK Panic远程DoS漏洞
weixin_42467627的博客
05-06 178
最近 ,Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。Linux和FreeBSD内核多个基于TCP的远程拒绝服务漏洞,CVE-2019-5599: SACK Slowness (FreeBSD 12 using t...
Linux内核又远程DoS漏洞CVE-2017-7645 没有看到不影响的版本
weixin_33721427的博客
09-01 258
Linux内核又出多个远程DoS漏洞,为啥这么说,上次大批linux内核版本远程DoS漏洞,是在6月1日,Linux内核远程DoS漏洞CVE-2017-6214,那次至少还有4.9.11不影响,这次没有,后附的信息可以看到,SecurityFocus没有给出不影响的版本! SecurityFocus评价 Linux内核比较容易出现...
TCP 的那些事 | D-SACK
u014023993的专栏
12-16 4880
在《【技术】TCP 的那些事 | SACK 》讲解了SACK,在SACK中描述的数据段是接收端收到的数据,发送端根据接收端返回的SACK信息就可以知道哪些数据丢了,进而进行重传。RFC2883对SACK进行了扩展,称为D-SACK:使得扩展后的SACK具有通知发送端哪些数据被重复接收了。 引入D-SACK的目的是使TCP进行更好的流控,具体来说有以下几个好处: 1. 让发送方知道,是发送的包丢...
使用Telnet通过Windows主机远程操作VMWare上的Archlinux虚拟机
NORthernlll的博客
09-15 2007
本文主要讲解了如何利用Telnet服务,通过Windows操作系统的物理机主机实现远程操控安装在VMware上的ArchLinux虚拟机,并简单分析了下TCP与IP数据报头部的构成。
linux内核协议栈 TCP选项之SACK选项的接收Ⅰ
10-16 786
Table of Contents 1 接收方对SACK信息的处理tcp_sacktag_write_queue 1.1 tcp_maybe_skipping_dsack() 1.2tcp_highest_sack_seq() 1 接收方对SACK信息的处理tcp_sacktag_write_queue 收到ACK段后,首先会用tcp_paser_options()解析输入段携带的选项信息,在该函数中,如果包含了SACK信息,那么skb的控制块的sacked字段就记录了SACK信息距TCP首...
修复Linux系统内核TCP漏洞,Linux 内核中TCP SACK机制远程Dos漏洞处理方法(CVE-2019-11477) | 聂扬帆博客...
weixin_30772189的博客
04-30 247
0x00 漏洞描述2019年6月18日,RedHat官网发布报告:安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,其中CVE-2019-11477漏洞能够降低系统运行效率,并可能被远程攻击者用于拒绝服务攻击,影响程度严重。0x01 影响版本影响Linux 内核2.6.2...
Linux内核远程DoS漏洞CVE-2017-6214 目前只看到4.9.11不影响
weixin_34160277的博客
09-01 324
Linux内核近期漏洞频出。今天SecurityFocus又公开了Iinux远程DoS漏洞,攻击者可以利用漏洞使Linux内核进入无限循环,进而导致拒绝服务。这个很容易形成DDoS攻击的,建议大家小心。 影响范围 影响的版本一大堆,看下面的列表,不影响的只给出了一个Linux kernel 4.9.11,各版本的补丁,见这里 https:/...
linux oracle 漏洞,Oracle Database 环境整改建议应对 Linux TCP SACK PANIC 内核安全高危漏洞 CVE-2019-11477...
weixin_35725138的博客
04-02 290
北京时间6月18日,Netflix信息安全研究员Jonathan Looney在Linux以及FreeBSD等系统内核中发现存在严重远程拒绝服务漏洞,在 Linux 内核处理 TCP 网络数据的操作中发现了三个相关的安全漏洞。 其最严重的安全漏洞会被远程攻击者利用在运行影响软件的系统上触发一个内核崩溃,从而影响到系统的可用性。其中前两个与 SACK(Selective Acknowledgem...
linux内核系列远程拒绝服务漏洞,预警 | Linux SACK Panic远程DoS漏洞大量主机影响...
weixin_39846664的博客
05-03 158
近日,腾讯云安全中心监测到Linux 内核被曝存在TCP “SACK Panic远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。为避免您的业务影响,云鼎实验室建议Linux系统用户及时开展安全自查,如在影响范围,请您及时进行更新修复,避免被外部攻击者入侵...
关于网络时间协议(NTP)mod-6扫描漏洞处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-12 2万+
某次对内网网络设备进行了一次漏洞扫描过程暴露出该漏洞,利用此漏洞远程NTP服务器响应模式6查询。响应这些查询的设备有可能用于NTP放大攻击。未经身份验证的远程攻击者可能通过精心设计的模式6查询利用此漏洞,导致反映的拒绝服务情况。修复建议:限制NTP模式6查询。漏洞级别:中级.........
Nginx安装、配置及使用总结
我只是一个简单的Coder,为了兴趣和理想奋斗在生活的道路上
02-15 1123
1.什么是Nginx Nginx(发音同 engine x)是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引擎Rambler(俄文:Рамблер)使用。 其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页伺
NTP反射放大攻击漏洞
my的博客
12-08 2795
基于UDP协议的NTP(网络时间协议):使网络中各个计算机时间同步的一种协议用途:把计算机时钟调节到世界调节时UDP。
ntp 4.2.6p5版本漏洞详细
Daoke37的博客
05-24 2858
1. NTP CRYPTO_ASSOC 内存泄漏导致拒绝服务漏洞 (CVE-2015-7701) 2. NTPD 栈缓冲区溢出漏洞(CVE-2014-9295) 3. NTPD PRNG无效熵漏洞(CVE-2014-9293) 4. NTPD PRNG弱加密漏洞(CVE-2014-9294) 5. NTP 身份验证绕过漏洞(CVE-2015-7871) 6. NTP Kiss-o'-Death拒绝服务漏洞 (CV...
修复Linux系统内核TCP漏洞,Linux TCP “SACK PANIC远程拒绝服务漏洞及修复
weixin_36429576的博客
04-30 389
近日Linux 内核被曝存在TCP “SACK PANIC远程拒绝服务漏洞(漏洞编号:CVE-2019-11477,CVE-2019-11478,CVE-2019-11479),攻击者可利用该漏洞远程攻击目标服务器,导致系统崩溃或无法提供服务。【漏洞详情】近日发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞,攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标...
linux 内核协议栈 tcp rx_opt.sack_ok 是什么字段
最新发布
07-12
<think>我们正在讨论Linux内核中TCP协议栈的接收选项,特别是rx_opt.sack_ok字段。 根据用户的问题,他想理解tcp_sock结构体中rx_opt.sack_ok字段的含义。 首先,我们需要知道rx_opt是tcp_sock结构体中的一个成员,它是一个结构体,用于存储TCP接收选项(即在连接建立过程中协商的选项)。 其中,sack_ok字段表示是否支持SACK(Selective Acknowledgment)选项。 SACK是一种TCP选项,允许接收端通知发送端哪些数据段已经成功接收,从而使得发送端可以只重传丢失的数据段,而不是从第一个丢失的段开始重传所有后续段。这在有多个段丢失的情况下可以提高性能。 在Linux内核中,当建立TCP连接时,在三次握手的过程中,双方会通过TCP选项来协商是否启用SACK。如果对方支持SACK,那么本端就会设置rx_opt.sack_ok为非零值(通常为1),表示可以使用SACK选项。 现在,我们可以查看相关的内核代码来确认这个字段的含义。 根据用户提供的引用(虽然引用是关于tcp_sync_mss函数的,但我们可以忽略它,因为用户的问题是关于sack_ok的),我们需要寻找其他相关代码。 实际上,在Linux内核中,tcp_sock结构体的定义(在include/linux/tcp.h中)包含rx_opt字段,其类型为struct tcp_options_received。而tcp_options_received结构体中包含sack_ok字段。 我们可以参考内核代码(以v5.4为例): 在include/net/tcp.h中,我们可以找到struct tcp_options_received的定义: struct tcp_options_received { ... u8 sack_ok; /* SACK seen on SYN packet */ ... }; 注释说明:sack_ok表示在SYN包中看到了SACK选项(即对端在SYN包中发送了SACK允许选项,表示对端支持SACK)。 在三次握手过程中,当收到SYN包时,内核会解析TCP选项,如果包含SACK允许选项,则设置sack_ok为1。 此外,在建立连接后,发送数据时,如果rx_opt.sack_ok为1,则发送端在发送数据包时可以包含SACK选项(在ACK包中,接收端使用SACK选项来告知发送端已经接收到的数据块)。 因此,rx_opt.sack_ok字段的含义是:表示这个TCP连接是否支持使用SACK选项。 下面,我们可以生成相关问题,以帮助用户更深入地理解。</think>### Linux内核TCP协议栈中`rx_opt.sack_ok`字段详解 在Linux内核TCP协议栈中,`tcp_sock`结构体的`rx_opt.sack_ok`字段表示**当前TCP连接是否支持SACK(Selective Acknowledgment)机制**。其核心含义如下: 1. **SACK功能** - SACK允许接收端在ACK包中**精确报告非连续接收的数据块**(如收到分段1,3,4但丢失2) - 相比传统ACK(仅确认连续数据),SACK显著提升重传效率,尤其在高丢包率网络中[^1] - 字段定义见内核代码: ```c // include/net/tcp.h struct tcp_options_received { u8 sack_ok; /* SACK option allowed? */ ... }; ``` 2. **协商过程** - 在TCP三次握手阶段,双方通过`TCP_SACK`选项协商SACK支持: ```c // net/ipv4/tcp_input.c void tcp_parse_options(...) { if (tcph->syn && option.sack_ok) tp->rx_opt.sack_ok = 1; } ``` - 仅当双方SYN包都携带`TCP_SACK`选项时,`rx_opt.sack_ok`才会置位 3. **运行时作用** - 当SACK启用时(`sack_ok=1`): - 接收端生成包含SACK块的ACK包 - 发送端根据SACK信息**仅重传缺失数据段** - 内核触发快速重传(Fast Retransmit)时依赖SACK信息[^1] - 若SACK禁用(`sack_ok=0`),则退回到传统ACK模式 4. **相关数据结构** ```mermaid graph LR A[tcp_sock] --> B[rx_opt] B --> C[sack_ok] B --> D[mss_clamp] B --> E[ts_recent] ``` 5. **典型应用场景** - 高带宽延迟积(BDP)网络 - 无线网络等易丢包环境 - 需要避免TCP全局超时重传的场景
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值