2019年6月18日，金山云安全应急响应中心监控到RedHat官网发布安全公告，公告指出Linux内核处理TCP SACK数据包模块中存在多个漏洞，其中编号为CVE-2019-11477的漏洞若被恶意利用，可允许远程攻击者用于拒绝服务攻击，影响程度严重。请受影响的用户尽快按照修复方案对漏洞进行处置，避免漏洞被利用造成损失。

漏洞编号:

CVE-2019-11477

漏洞名称:

Linux 远程拒绝服务漏洞

漏洞危害等级:

严重

漏洞描述:

SACK(Selective ACK)是TCP选项，它使得接收方能告诉发送方哪些报文段丢失，哪些报文段重传了，哪些报文段已经提前收到等信息。根据这些信息TCP就可以只重传哪些真正丢失的报文段。需要注意的是只有收到失序的分组时才会可能会发送SACK，TCP的ACK还是建立在累积确认的基础上的。利用该漏洞，攻击者可以通过发送一系列特定的SACK包，触发内核模块的整数溢出漏洞，进而实行远程拒绝服务攻击。

影响版本:

影响Linux 内核2.6.29及以上版本

注：RedHat用户可以使用以下脚本来检查系统是否存在漏洞

https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

修复方案：

1.     暂缓措施：禁用SACK处理（此暂缓措施不用重启系统）

echo 0 > /proc/sys/net/ipv4/tcp_sack

2.     更新补丁（该修复方案需重启系统）：

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

注:Linux内核版本>=4.14需要打第二个补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

参考链接:

https://access.redhat.com/security/vulnerabilities/tcpsack

北京金山云网络技术有限公司

2019/06/18