linux7 cve源码修复,CentOS修复CVE-2019-11477安全漏洞

最新推荐文章于 2025-05-29 18:34:02 发布
最新推荐文章于 2025-05-29 18:34:02 发布
阅读量574 收藏
点赞数
文章标签: linux7 cve源码修复
Linux内核在处理TCP网络数据包时存在三个漏洞,CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479,可能导致系统崩溃和DOS攻击。最严重的是CVE-2019-11477,即'SACKpanic',影响2.6.29及更高版本。修复方案包括使用yum更新内核和临时禁用TCP SACK功能,以及通过iptables设置防火墙规则。建议升级内核并重启系统以彻底解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

3efca4d86ad9

title

漏洞分析

​ Linux内核处理TCP网络数据包时候存在缺陷导致三个漏洞,CVE编号分别为:CVE-2019-11477,CVE-2019-11478和CVE-2019-11479。漏洞仅可以用于DOS拒绝攻击,不涉及信息泄露或者权限提升。

​ CVE-2019-11477 是最严重的四个缺陷,被称作 “SACK panic”,即Linux内核的TCP选择性确认(TCP SelectiveAcknowledgement 简称SACK)功能。

​ 远程攻击者可以利用这个漏洞来触发可能导致计算机崩溃的内核错误(Kernel panic),进而引起拒绝服务。波及Linux内核版本2.6.29以及高于2.6.29以上版本。

修复方式

​ 使用yum更新内核获取补丁升级:

sudo yum update kernel -y

​ 升级完成后需重启系统生效。

缓解措施

​ 若暂时不方便重启系统,可使用以下方式暂时处理。

第一步:禁用tcp_sack

sudo sysctl -w net.ipv4.tcp_sack=0

第二步:使用系统防火墙过滤阻止与低MSS的连接

使用iptables

sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

sudo ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

service iptables save #保存

使用firewalld

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP

firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP

firewall-cmd -reload #保存

使用检测脚本验证修复结果

​ 升级内核前:

3efca4d86ad9

升级内核前

​ 采用缓解措施后:

3efca4d86ad9

采用缓解措施后

​ 升级内核并重启后:

3efca4d86ad9

采用缓解措施后

蒋伯雍
关注
Centos 9/8/7 离线/在线升级内核(漏洞编号CVE-2024-1086)
06-07 4933
Centos 9/8/7 离线/在线升级内核,漏洞CVE-2024-1086,kernel
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
weixin_43724850的博客
07-04 1565
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
linux7 cve源码修复,centos7 CVE-2019-11477漏洞修复方法
weixin_33201531的博客
05-12 533
CVE-2019-11477漏洞简单介绍 https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh1 直接升级内核修复(需重启机器)#[root@CentO...
Linux内核CVE漏洞修复
最新发布
lionyy1的博客
05-29 266
从patch中可以看到,当前漏洞对应的C文件为:fs/nilfs2/inode.c如何确认当前漏洞是否需要修复?下面通过两个步骤来确认。通过这两步可以看到,当前漏洞对应文件没有被编译,所以针对该漏洞对当前内核没有影响,无需修复
关于 Linux Polkit 权限提升漏洞(CVE-2021-4034)的修复方法
Ren_gw的博客
01-27 3845
关于 Linux Polkit 权限提升漏洞(CVE-2021-4034)的修复方法,yum update polkit
linux 修复内核漏洞,CVE-2014-0196:躲藏5年之久的Linux内核严重安全漏洞修复
weixin_39612554的博客
05-01 374
近期,一个在Linux内核(The Linux Kernel)中存在了5年之久的严重漏洞修复。信息一览编号CVE-2014-0196漏洞类型:缓冲区溢出漏洞漏洞引入:Linux 2.6.31-rc3 (2009)影响的版本:2.6.31-rc3 — 3.14.3影响的部分:伪tty设备漏洞修正:Linux 3.14.4这个漏洞通过引发伪tty设备的n_tty_write()函数内存溢出,可以:...
CVE-2019-11477 漏洞检测脚本(影响大多数Linux内核)
大哥一声吼
06-20 6021
漏洞公布时间:2019-06-17 漏洞影响范围:CVE-2019-11477: SACK Panic (Linux >= 2.6.29) 漏洞概述: A sequence of SACKs may be crafted such that one can trigger an integer overflow, leading to a kernel panic. 漏洞详情: 首先...
CentOS7系列快速升级至openssh-9.8p1以修复CVE漏洞
升级CentOS7主要是为了修复已知的安全漏洞,提高系统的安全性,或者是获得最新的功能。 2. openssh-9.8p1:OpenSSH是一个开源版本的SSH(Secure Shell)协议套件,用于提供安全的网络通信。9.8p1是OpenSSH的版本号...
CentOS7【紧急修复OpenSSH】2024-07-01高危漏洞CVE-2024-6387升级到openssh 9.8离线RPM一键更新包
ayuday的博客
07-04 1048
使用CentOS操作系统的朋友注意了,OpenSSH高危漏洞CVE-2024-6387,需要重要事件说三次!!!!OpenSSH高危漏洞OpenSSH高危漏洞OpenSSH高危漏洞同时基于代码引入时间、系统保护措施、系统安装OpenSSH版本等,目前已知 CentOS 7/8、RedHat 6/7/8、Debian 11 等系统默认安装的OpenSSH Server、Windows操作系统上的OpenSSH Server等均不受该漏洞影响。
CVE-2023-38408漏洞修复 - 升级openssl和openssh
老杜的博客
03-27 1万+
CVE-2023-38408 漏洞是OpenSSH 代码问题漏洞修复,升级openssl和openssh
Centos7系统安全漏洞修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
linux CVE-2021-4034漏洞复现和修复建议
weixin_42540999的博客
02-10 4413
修复前 1.查看系统版本(使用centos7.5系统) 2.查看polkit版本 3.漏洞复现POC ①新建普通用户 ②上传POC到服务器并进行编译 ③切换普通用户并进行执行(可看出提权成功,已为root权限) 漏洞修复 1.临时解决方法 ①删除pkexec的SUID-bit权限来缓解该漏洞风险 chmod 0755 /usr/bin/pkexec ②修复验证(已无法进行提权) 2.进行版本补丁的更新 ①centos官方已更新补丁 ②下载补丁包并上传至服务器 rpm -Uvh polkit
Linux 内核CVE-2024-1086漏洞修复方法
20000_ZuuuuYao的博客
06-06 8440
漏洞详情Linux kernel权限提升漏洞CVE-2024-1086)基本情况:攻击者利用该漏洞可在本地进行提权操作,最高可获取目标服务器的root管理权限。影响范围修复建议。
suse linux bash漏洞,bash漏洞: CVE-2014-6271漏洞及紧急修复方法
weixin_33397740的博客
05-16 538
最近linux的bash漏洞闹得沸沸扬扬,问题还是挺严重的,我这里提醒大家一下早日修复吧!如何验证$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'在终端中运行上面的命令,如果返回有vulnerable,就说明这台服务器中枪了。把命令中的bash替换成其他类型的shell,可以检查机器上其他shell是否中枪。如何修复系统Bug* GN...
linux7 cve源码修复,Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法
weixin_34626572的博客
05-12 285
1 直接升级内核修复(需重启机器)#下载漏洞检测脚本#[root@CentOS7 ~]# wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh#[root@CentOS7 ~]# ll总用量 36-rw-------. 1 root root 1608 3月 19 09:44 ...
linux服务器漏洞修复软件,linux漏洞修复_小白篇
weixin_42191359的博客
04-29 969
linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。前提Tomcat:查看版本号cd /usr/tomcat9/bin/;./version.sh查看服务状态FastGateServer.sh status配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xmlHttpd:查...
centOS7.4中Wget高危漏洞 CVE-2017-13090 高危、CVE-2017-13089 高危
ky1in93的博客
04-27 3419
简介:GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。 GNU Wget 1.19.2之前的版本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。 解决方案:请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。使用命令:...
Centos确认CVE修复
u012967763的专栏
02-14 1155
当有大量CVE需要确认时,在环境上一个个查很麻烦,写了一个shell脚本可以自动化确认哪些CVE已经修复,哪些没有修复。dai 代码如下。 ################################################ #功能:判断CVE_List.txt文件中的CVE修复情况 #入参:CVE_List.txt文件的绝对路径 ########################...
Centos7.9 OpenSSH 安全漏洞CVE-2023-38408)
小小的木头人的博客
04-09 1939
openSSH 安全漏洞CVE-2023-38408)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值